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了 路 


软件 产业 是 信息 产业 的 核心 之 一 ， 是 经 济 社会 发 展 的 基础 性 、 先 导 性 和 战略 性 产业 ， 在 
推进 信息 化 与 工业 化 融合 、 促 进发 展 方式 转变 和 产业 结构 升级 、 维 护 国 家 安全 等 方面 有 着 重 
要 作用 。 党 中 央 、 国 务 院 高 度 重 视 软件 产业 发 展 ， 先 后 出 台 了 18 号 文件 、47 号 文件 等 一 系 
列 政策 措施 ， 营 造 了 良好 的 发 展 环境 。 近 年 来 ， 我 国 软件 产业 进入 快速 发 展期 。2007 年 销售 
收入 达到 5834 亿 元 ， 出 口 102.4 亿美 元 ， 软 件 从 业 人 数 达 148 万 人 。 全 国共 认定 软件 企业 超 
过 1.8 万 家 ， 登 记 备 案 软 件 产品 超过 5 万 个 。 软 件 技术 创新 取得 突破 ， 国 产 操作 系统 、 数 据 
库 、 中 间 件 等 基础 软件 相继 推出 并 得 到 了 较 好 的 应 用 。 软 件 与 信息 服务 外 包 甘 勃发 展 ， 软 件 
正版 化 工作 顺利 推进 。 

随 着 软件 产业 的 快速 发 展 ， 软 件 人 才 需 求 日 益 迫 切 。 为 适应 产业 发 展 需求 、 规 范 软件 专 
业 人 员 技 术 资 格 ，20 余年 前 全 国 计 算 机 软件 考试 创办 ， 率 先 执行 了 以 考 代 评 政策 。 近 年 来 ， 
考试 作 了 很 多 积极 的 探索 ， 进 行 了 一 系列 改革 ， 考 试 名 称 、 考 试 内 容 、 专 业 类 别 、 职 业 岗 位 
也 作 了 相应 的 变化 。 目 前 ， 考 试 名 称 已 调整 为 计算 机 技术 与 软件 专业 技术 资格 水平 ) 考试 ， 
涉及 5 个 专业 类 别 、3 个 级 别 层次 共 27 个 职业 岗位 ， 采取 水平 考试 的 形式 ， 执 行 资格 考试 政 
策 ， 并 扩展 到 高 级 资格 ， 取 得 了 良好 效果 。20 余年 来 ， 累 计 报考 人 数 近 200 万 ， 影 响 力 不 断 
扩大 。 程 序 员 、 软 件 设计 师 、 系 统 分 析 师 、 网 络 工程 师 、 数 据 库 系 统 工程 师 的 考试 标准 已 与 
日 本 相应 考试 级 别 实现 互 认 ， 程 序 员 和 软件 设计 师 的 考试 标准 与 韩国 实现 互 认 。 通 过 考试 ， 
一 大 批 软件 人 才 脱 颖 而 出 ， 为 加 快 培育 软件 人 才 队伍 、 推 动 软件 产业 健康 发 展 起 到 了 重要 
作用 。 

最 近 ， 工 业 和 信息 化 部 电子 教育 与 考试 中 心 组 织 了 一 批 具 有 较 高 理论 水 平和 丰富 实践 经 
验 的 专家 编写 了 这 套 全 国 计 算 机 技术 与 软件 专业 技术 资格 〈 水 平 ) 考试 教材 和 辅导 用 书 。 按 
照 考试 大 纲 的 要 求 ， 教 材 和 辅导 用 书 全 面 介绍 相关 知识 与 技术 ， 帮 助 考生 学 习 备 考 ， 将 为 软 
件 考试 的 规范 和 完善 起 到 积极 作用 。 

我 相信 ， 通 过 社会 各 界 共同 努力 ， 全 国 计 算 机 技术 与 软件 专业 技术 资格 水平 ) 考试 将 
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更 加 规范 、 科 学 ， 培 养 出 更 多 专业 技术 人 才 ， 为 加 快 发 展 信息 产业 、 推 动 信息 化 与 工业 化 融 
合 做 出 积极 贡献 。 


An 
工业 和 信息 化 部 副 部 长 药 码 1 


根据 新 的 网 络 
识 部 分 进行 了 简化 ， 对 应 用 技术 部 分 进行 了 改写 ， 突 出 了 网 络 服务 器 的 配置 、 路 


前 


ll 


[ 程 师 考 试 大 纲 ， 这 次 修订 版 时 对 本 书 内 容 进行 了 比较 大 的 调整 。 对 基础 知 


由 器 和 交换 机 


的 配置 、 以 及 网 络 安全 和 网 络 管理 等 实用 技术 。 在 适当 调整 后 ， 全 书 缩减 为 10 章 ， 由 雷震 甲 、 
吴 晓 蓉 、 严 体 华 编写 ， 主 要 内 容 介 绍 如 下 。 


第 1 章 介绍 计算 机 网 络 的 基本 概念 ， 主 要 内 容 是 计算 机 网 络 的 体系 结构 


ISO 开放 系统 


互 连 参考 模型 及 基本 概念 ， 例 如 协议 实体 、 协 议 数据 单元 ， 服 务 数据 单元 、 面 向 连接 的 服务 和 


无 连接 的 服务 、 服 务 原 语 、 服 务 访问 点 、 相 邻 层 之 间 的 多 路 复 用 ， 以 及 各 个 


等 ， 都 是 进行 网 络 分 析 的 理论 基础 ， 是 网 络 工程 技术 人 员 应 该 掌握 的 基础 知识 。 


第 2 章 讲述 数据 通信 的 基础 知识 ， 主 要 为 物理 层 的 内 容 。 网 络 工程 师 除 了 熟悉 网 络 协 议 的 
工作 原理 、 能 够 操作 网 络 互 连 设备 之 外 ， 也 应 该 掌握 数据 通信 方面 的 基础 知识 ， 这 样 ， 在 进行 


网 络 故障 分 析 和 故障 排除 时 才能 做 到 有 的 放 矢 ， 事 半 功 倍 地 解决 问题 。 


第 3 章 介绍 电话 网 、 数 据 通信 网 、 帧 中 继 网 和 综合 业务 数字 网 
识 ， 这 些 网 络 都 是 进行 网 络 互 连 时 必须 要 用 到 的 基础 设施 ， 这 方面 的 基础 知识 可 以 帮助 网 络 工 


程 师 根据 已 有 的 条 件 选 择 网 络 互 连 设备 。 


第 4 章 详细 介绍 局 域 网 和 城 域 网 方面 的 主要 技术 。 这 次 修改 时 突出 了 快速 以 太 网 技术 ， 删 


等 广 域 通信 网 方面 的 基础 入 


协议 层 的 功能 特性 


去 了 较 少 使 用 的 令 牌 环 网 等 ， 丰 富 了 无 线 局 域 网 和 城 域 网 方面 的 内 容 。 这 一 章 是 网 络 工程 师 应 
该 掌握 的 最 重要 的 基础 知识 。 
第 5 章 讨论 了 网 络 互 连 的 基本 原理 ， 深 入 讲解 了 Internet 协议 及 其 提供 的 网 络 服务 。 这 一 
章 也 是 网 络 工程 师 应 该 掌握 的 重要 的 基础 知识 。 
第 6 章 包 含 了 网 络 安全 方面 的 基础 知识 和 应 用 技术 。 包 括 诸 如 数据 加 密 、 报 文 认证 、 数 字 
签名 等 基本 理论 、 网 络 安全 协议 的 工作 原理 以 及 针对 具体 的 网 络 系统 设计 和 实现 简单 的 安全 解 


决 方案 。 


第 7 章 介绍 了 Windows 和 Linux 操作 系统 的 基础 知识 , 并 详细 讲述 了 常用 的 各 种 服务 器 的 
配置 方法 。 这 一 章 的 内 容 主 要 是 在 具体 操作 方面 ， 网 络 工程 师 要 能 够 熟练 地 配置 各 种 网 络 服务 
器 ， 排 除 网 络 服务 器 中 出 现 的 故障 。 


第 
操作 ,村 


8 章 是 有 关 网 络 互 连 设备 操作 方 
点 是 VLAN 和 动态 路 由 配置 。 要 求 网 络 ] 


[ 程 师 能 够 熟悉 网 络 互 连 设备 的 了 


而 的 基础 知识 和 实用 技术 , 这 一 章 也 是 要 求 能 够 熟练 地 


[ 作 原 理 ， 掌 


国医 


握 路 


操作 


决 方案 。 
第 10 章 讲述 网 络 规划 与 设计 。 网 络 工程 师 应 该 能 够 根据 网 络 的 设计 目标 ， 按 照 系 统 工程 
的 方法 给 出 解决 方案 ， 写 出 规范 的 设计 和 实施 文档 。 


案例 


， 作 为 学 习 时 的 参考 。 
新 大 纲 增加 了 IPv6、802.11x、MPLS、 光 纤 主 了 


器 和 交换 机 的 配置 命令 ， 能 够 排除 网 络 互 连 设备 的 故障 。 
第 9 章 是 网 络 管理 ,读者 除了 要 熟悉 SNMP 协议 的 体系 结构 和 操作 原理 之 外 , 还 要 能 实际 
络 管理 系统 ， 熟 练 地 使 用 常见 的 网 络 管理 命令 ， 针 对 具体 的 网 络 给 出 实用 的 网 络 管理 解 


另外 ， 这 一 章 还 给 出 了 网 络 规划 和 设计 的 


F 网 等 新 技术 ， 希 望 读者 给 予 注意 。 


编者 ” 2011 年 7 月 
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天 第 1 章 计算 机 网 络 概论 庆 有 


计算 机 网 络 是 计算 机 技术 与 通信 技术 相 结 合 的 产物 。 计算 机 网 络 是 信息 收集 、 分 发 、 存 储 、 
处 理 和 消费 的 重要 载体 。 计 算 机 网 络 作为 一 种 生产 和 生活 工具 被 人 们 广泛 接纳 和 使 用 之 后 ， 对 
人 类 社会 的 经 济 、 政 治 和 文化 生活 产生 了 重大 影响 。 本 章 讲述 计算 机 网 络 的 基本 概念 和 发 展 简 
史 ， 以 及 国际 标准 化 组 织 定义 的 开放 系统 互 连 参考 模型 ， 后 者 是 分 析 和 认识 计算 机 网 络 的 理论 
基础 。 


1.1 计算 机 网 络 的 形成 和 发 展 


1. 早期 的 计算 机 网 络 


自从 有 了 计算 机 ， 就 有 了 计算 机 技术 与 通信 技术 的 结合 。 早 在 1951 年 ， 美国 麻 省 理工 学 
院 林 肯 实 验 室 就 开始 为 美国 空军 设计 称 为 SAGE 的 半自动 化 地 面 防空 系统 , 该 系统 最 终于 1963 
年 建成 ， 被 认为 是 计算 机 和 通信 技术 结合 的 先驱 。 

计算 机 通信 技术 应 用 于 民用 系统 方面 , 最 早 的 当 数 美国 航空 公司 与 IBM 公司 在 20 世纪 50 
年 代 初 开始 联合 研究 、60 年 代 初 投 入 使 用 的 飞机 订 票 系统 SABRE-I。 美国 通 用 电气 公司 的 信息 
服务 系统 则 是 世界 上 最 大 的 商用 数据 处 理 网 络 ， 其 地 理 范围 从 美国 本 土 延伸 到 欧洲 、 澳 洲 和 亚 
洲 的 日 本 。 该 系统 于 1968 年 投入 运行 ， 具 有 交互 式 处 理 和 批 处 理 能 力 ， 由 于 地 理 范 围 大 ， 可 
以 利用 时 差 达 到 资源 的 充分 利用 。 

在 这 一 类 早期 的 计算 机 通信 网 络 中 ， 为 了 提高 通信 线路 的 利用 率 并 减轻 主机 的 负担 ， 已 经 
使 用 了 多 点 通信 线路 、 终 端 集 中 器 以 及 前 端 处 理 机 等 现代 通信 技术 。 这 些 技术 对 以 后 计算 机 网 
络 的 发 展 有 着 深刻 的 影响 。 以 多 点 线路 连接 的 终端 和 主机 间 的 通信 建立 过 程 ， 可 以 用 主机 对 各 
终端 轮 询 或 是 由 各 终端 连接 成 锥 菊 链 的 形式 实现 。 考 虑 到 远程 通信 的 特殊 情况 ， 对 传输 的 信息 
还 要 按照 一 定 的 通信 规程 进行 特别 的 处 理 。 


2. 现代 计算 机 网 络 的 发 展 


20 世纪 60 年 代 中 期 出 现 了 大 型 主机 ， 同 时 也 出 现 了 对 大 型 主机 资源 远程 共享 的 要 求 。 以 
程控 交换 为 特征 的 电信 技术 的 发 展 则 为 这 种 远程 通信 需求 提供 了 实现 的 手段 。 现 代 意义 上 的 计 
算 机 网 络 是 从 1969 年 美国 国防 部 高 级 研究 计划 局 DARPA) 建成 的 ARPAnet 实验 网 开始 的 。 
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该 网 络 当 时 只 有 4 个 节点 ， 以 电话 线路 作为 主干 通信 网 络 ， 两 年 后 ， 建 成 15 个 节点 ， 进 入 工 
作 阶 段 。 此 后 ，ARPAnet 的 规模 不 断 扩 大 。 到 了 20 世纪 70 年 代 后 期 ， 网 络 节点 超过 60 个 ， 
主机 100 多 台 ， 地 理 范围 跨越 了 美洲 大 陆 ， 连 通 了 美国 东部 和 西部 的 许多 大 学 和 研究 机 构 ， 而 
且 通 过 通信 卫星 与 夏威夷 和 欧洲 地 区 的 计算 机 网 络 相互 连通 。 

ARPAnet 的 主要 特点 是 : 

(1) 资源 共享 ; 

(2) 分 散 控制 ; 

(3) 分 组 交换 ; 

(4) 采用 专门 的 通信 控制 处 理 机 ; 

(5) 分 层 的 网 络 协议 。 

这 些 特点 被 认为 是 现代 计算 机 网 络 的 一 般 特征 。 

20 世纪 70 年 代 中 后 期 是 广 域 通信 和 网 大 发 展 的 时 期 。 各 发 达 国 家 的 政府 部 门 、 研 究 机 构 和 
电报 电话 公司 都 在 发 展 分 组 交换 网 络 。 例 如 ， 英 国 邮 政局 的 EPSS 公用 分 组 交换 网 络 (1973)、 
法 国信 息 与 自动 化 研究 所 (IRIA) 的 CYCLADES 分 布 式 数据 处 理 网 络 (1975)、 加 拿 大 的 
DATAPAC 公用 分 组 交换 网 (1976) 以 及 日 本 电报 电话 公司 的 DDX-3 公用 数据 网 (1979) 等 。 
这 些 网 络 都 以 实现 计算 机 之 间 的 远程 数据 传输 和 信息 共享 为 主要 目的 ， 通信 线路 大 多 采用 租用 
电话 线路 ,少数 铺设 专用 线路 ， 数 据 传输 速率 在 50Kb/s 左右 。 这 一 时 期 的 网 络 被 称 为 第 二 代 网 
络 ， 以 远程 大 规模 互 连 为 其 主要 特点 。 


3. 计算 机 网 络 标准 化 阶段 


经 过 20 世纪 六 七 十 年 代 前 期 的 发 展 ， 人 们 对 组 网 的 技术 、 方 法 和 理论 的 研究 日 趋 成 熟 。 
为 了 促进 网 络 产品 的 开发 ， 各 大 计算 机 公司 纷纷 制定 自己 的 网 络 技术 标准 。IBM 首先 于 1974 
年 推出 了 该 公司 的 系统 网 络 体系 结构 (System Network Architecture，SNA), 为 用 户 提供 能 够 互 
连 互通 的 成 套 通 信 产 品 ; 1975 年 ，DEC 公司 宣布 了 数字 网 络 体系 结构 (Digital Network 
Architecture, DNA); 1976 年 , UNIVAC 发 布 了 分 布 式 通信 体系 结构 (Distributed Communication 
Architecture)。 这 些 网 络 技术 标准 只 是 在 一 个 公司 范围 内 有 效 ， 遵 从 某 种 标准 的 、 能 够 互 连 的 
网 络 通信 产品 只 是 同一 公司 生产 的 同 构 型 设备 。 网 络 通信 市 场 这 种 各 自 为 政 的 状况 使 得 用 户 在 
投资 方向 上 无 所 适 从 ， 也 不 利于 多 厂商 之 间 的 公平 竞争 。1977 年 ， 国 际 标准 化 组 织 (ISO) 的 
TC97 信息 处 理 系统 技术 委员 会 SC16 分 技术 委员 会 开始 着 手 制定 开放 系统 互 连 参考 模型 
OSLRM。 作为 国际 标准 ，OSI 规定 了 可 以 互 连 的 计算 机 系统 之 间 的 通信 协议 , 遵从 OSI 协议 的 
网 络 通信 产品 都 是 所 谓 的 “开放 系统 ”。 今天， 几乎 所 有 的 网 络 产品 厂商 都 声称 自己 的 产品 是 
开放 系统 ， 不 遵从 国际 标准 的 产品 逐渐 失去 了 市 场 。 这 种 统一 的 、 标 准 化 产品 互相 竞争 的 市 场 
进一步 促进 了 网 络 技术 的 发 展 。 
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4. 微型 机 局 域 网 的 发 展 时 期 


20 世纪 80 年 代 初 期 出 现 了 微型 计算 机 ， 这 种 适合 办 公 室 环境 和 家 庭 使 用 的 新 机 种 对 社会 
生活 的 各 个 方面 都 产生 了 深刻 的 影响 。1972 年 ，Xerox 公司 发 明了 以 太 网 ， 以 太 网 与 微型 机 的 
结合 使 得 微型 机 局 域 网 得 到 了 快速 的 发 展 。 在 一 个 单位 内 部 的 微型 计算 机 和 智能 设备 互相 连接 
起 来 ， 提 供 了 办 公 自 动 化 的 环境 和 信息 共享 的 平台 。1980 年 2 月 ，IEEE 组 织 了 一 个 802 委员 
会 ， 开 始 制定 局 域 网 标准 。 局 域 网 的 发 展 道路 不 同 于 广域网 ， 局 域 网 厂商 从 一 开始 就 按照 标准 
化 、 互 相 兼 容 的 方式 展开 竞争 。 用 户 在 建设 自己 的 局 域 网 时 选择 面 更 宽 ， 设 备 更 新 更 快 。 


S. 国际 因特网 的 发 展 时 期 


1985 年 ， 美 国 国家 科学 基金 会 (National Science Foundation，NSF) 利用 ARPAnet 协议 建 
立 了 用 于 科学 研究 和 教育 的 骨干 网 络 NSFnet。1990 年 ， NSFnet 代替 ARPAnet 成 为 美国 国家 骨 
干 网 ， 并 且 走 出 了 大 学 和 研究 机 构 进 入 社会 。 从 此 ， 网 上 的 电子 邮件 、 文 件 下 载 和 消息 传输 受 
到 越 来 越 多 人 的 欢迎 并 被 广泛 使 用 。1992 年 ，Intemet 学 会 成 立 ， 该 学 会 把 Intermet 定义 为 “组 
织 松散 的 、 独 立 的 国际 合作 互联 网 络 ” “通过 自主 遵守 计算 协议 和 过 程 支持 主机 对 主机 的 通 
信 ”。1993 年 ， 美 国 伊利 诺 斯 大 学 国家 超级 计算 中 心 开发 成 功 了 网 上 浏览 工具 Mosaic〈 后 来 发 
展 成 Netscape)， 使 得 各 种 信息 都 可 以 方便 地 在 网 上 交流 。 浏 览 工具 的 实现 引发 了 Internet 发 展 
和 普及 高 潮 。 上 网 不 再 是 网 络 操作 人 员 和 科学 研究 人 员 的 专利 ， 而 成 为 一 般 人 进行 远程 通信 和 
交流 的 工具 。 在 这 种 形势 下 ， 美 国 总 统 克林顿 于 1993 年 宣布 正式 实施 国家 信息 基础 设施 
(National Information Infrastructure，NI) 计划 ， 从 此 在 世界 范围 内 展开 了 争夺 信息 化 社会 领导 
权 和 制高点 的 竞争 。 与 此 同时 ，NSF 不 再 向 Internet 注入 资金 ， 使 其 完全 进入 商业 化 运作 。20 
世纪 90 年 代 后 期 ，Internet 以 惊人 的 高 速度 发 展 ， 网 上 的 主机 数量 、 上 网 人 数 、 网 络 的 信息 流 
量 每 年 都 在 成 倍 地 增长 。 


1.2 计算 机 网 络 的 分 类 和 应 用 


1.2.1 计算 机 网 络 的 分 类 


“计算 机 网 络 ” 这 一 术语 是 指 由 通信 线路 互相 连接 的 许多 自主 工作 的 计算 机 构成 的 集合 体 。 
这 里 强调 构成 网 络 的 计算 机 是 自主 工作 的 ， 这 是 为 了 和 多 终端 分 时 系统 相 区 别 。 在 后 一 种 系统 
中 ， 终 端 无 论 是 本 地 的 还 是 远程 的 ， 只 是 主机 和 用 户 之 间 的 接口 ， 它 本 身 并 不 拥有 计算 资源 ， 
全 部 资源 集中 在 主机 中 。 主 机 以 自己 拥有 的 资源 分 时 地 为 各 终端 用 户 服务 。 计 算 机 网 络 中 的 各 
个 计算 机 (工作站) 本身 拥有 计算 资源 ， 能 独立 工作 ， 能 完成 一 定 的 计算 任务 。 同 时 ， 用 户 还 
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可 以 共享 网 络 中 其 他 计算 机 的 资源 〈CPU、 大 容量 外 存 或 信息 等 )。 

比 计算 机 网 络 更 高 级 的 系统 是 分 布 式 系统 。 分 布 式 系统 在 计算 机 网 络 基础 上 为 用 户 提供 了 
透明 的 集成 应 用 环境 。 用 户 可 以 用 名 字 或 命令 调用 网 络 中 的 任何 资源 或 进行 远程 的 数据 处 理 ， 
而 不 必 考 虑 这 些 资源 或 数据 的 地 理 位 置 。 

与 计算 机 网 络 类 似 的 另 一 种 系统 是 多 机 系统 。 多 机 系统 专 指 同一 机 房 中 的 许多 大 型 主机 互 
连 组 成 的 、 能 高 速 并 行 处 理 的 计算 机 系统 。 对 这 种 系统 互 连 的 要 求 是 高 带宽 和 连通 的 多 样 性 。 
计算 机 网 络 中 的 信息 传输 开销 很 大 ， 实 际 的 有 效 数 据 速率 比 通信 线路 能 够 提供 的 带宽 要 小 得 
多 。 同 时 由 于 距离 的 原因 ， 计 算 机 网 络 终端 系统 是 通过 交换 设备 互 连 的 ， 这 种 有 限 互 连 的 方式 
不 能 适应 高 速 并 行 计算 的 要 求 。 

计算 机 网 络 的 组 成 元 素 可 以 分 为 两 大 类 ， 即 网 络 节点 和 通信 链 路 。 网 络 节点 又 分 为 端 节点 
和 转发 节点 。 端 节点 指 信 源 和 信 宿 节点 ， 例 如 用 户主 机 和 用 户 终端 ; 转发 节点 指 网 络 通 信 过 程 
中 控制 和 转发 信息 的 节点 ， 例 如 交换 机 、 集 线 器 、 接 口 信息 处 理 机 等 。 通 信 链 路 是 指 传输 信息 
的 信道 ， 可 以 是 电话 线 、 同 轴 电 缆 、 无 线 信道 、 卫 星 线路 、 微 波 中 继 线 路 和 光纤 缆 线 等 。 网 络 
节点 通过 通信 链 路 连接 成 的 计算 机 网 络 如 图 1-1 所 示 。 


图 1-1 通信 子 网 与 资源 子 网 


在 图 1-1 中 ， 虚 线 框 外 的 部 分 称 为 资源 子 网 。 资 源 子 网 中 包括 拥有 资源 的 用 户主 机 和 请 求 
资源 的 用 户 终端 ， 它 们 都 是 端 节 点 。 虚 线 框 内 的 部 分 叫做 通信 子 网 ， 其 任务 是 在 端 节 点 之 间 传 
送 由 信息 组 成 的 报 文 ， 主 要 由 转发 节点 和 通信 链 路 组 成 。 在 图 1-1 中 ， 按 照 ARPA 网 络 的 术语 
把 转发 节点 通称 为 接口 信息 处 理 机 (Interface Message Processor，IMP)。IMP 是 一 种 专用 于 通 
信 的 计算 机 ， 有 些 IMP 之 间 直 接 相 连 ， 有 些 IMP 之 间 必 须 经 过 其 他 IMP 间接 相连 。 当 IMP 收 
到 一 个 报 文 后 要 根据 报 文 的 目标 地 址 决定 把 该 报 文 提 交 给 与 它 相 连 的 主机 还 是 转发 到 下 一 个 
IJIMP， 这 种 通信 方式 叫做 存储 -转发 通信 。 在 广域网 中 的 通信 一 般 都 采用 这 种 方式 。 另 外 一 种 通 
信 方 式 是 广播 通信 方式 ， 主 要 用 于 局 域 网 中 。 局 域 网 中 的 IMP 简化 为 一 个 微 处 理 器 芯片 ， 每 台 
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加 载 中 


请 耐心 等 待 或 者 刷新 重 试 
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。 ”模块 化 交换 机 。 这 种 交换 机 的 机 箱 中 预 留 了 一 定数 量 的 插 槽 ， 用 户 可 以 根据 网 络 扩充 
的 需求 选择 不 同类 型 的 端口 模块 。 这 种 交换 机 具有 更 大 的 可 扩充 性 。 

(4) 根据 配置 方式 划分 。 

。 ” 堆 闪 型 交换 机 。 这 种 交换 机 具有 专门 的 堆 合 端口 ， 用 堆 车 电线 把 一 台 交 换 机 的 UP 口 
连接 到 另 一 台 交换 机 的 DOWN 口 ， 以 实现 端口 数量 的 扩充 (如 图 8-1 所 示 )。 一 般 交 
换 机 能 够 堆 释 4 一 9 层 ， 所 有 交换 机 可 以 当 作 一 台 交 换 机 来 统一 管理 。 

。 ” 非 堆 车 型 交换 机 。 这 种 交换 机 没有 堆 车 端口 ， 但 可 以 通过 级 连 方式 进行 扩充 。 级 连 模 
式 使 用 以 太 网 端口 (100M FE 端口 、GE 端口 或 10GE 端口 ) 进行 层次 间 互 联 (如 
图 8-2 所 示 )， 可 以 通过 统一 的 网 管 平台 实现 对 全 网 设备 的 管理 。 为 了 保证 网 络 运 行 的 
效率 ， 级 连 层 数 一 般 不 要 超过 4 层 。 


MASTER 
成 为 中 心 管理 设备 


SLAVE 


_。 增加 这 条 链 路 实现 宛 余 
但 不 可 能 同时 生效 


图 8-1 交换 机 的 堆 悉 图 8-2 交换 机 的 级 连 


(5) 根据 管理 类 型 划分 。 

。 ”网 管 型 交换 机 。 这 种 交换 机 支持 简单 网 络 管理 协议 SNMP) 和 管理 信息 库 (MIB)， 
可 以 指定 他 地址， 实现 远程 配置 、 监 视 和 管理 。 

。 ” 非 网 管 型 交换 机 。 这 种 交换 机 不 支持 SNMP 和 MIB， 只 能 根据 MAC 地 址 进行 交换 ， 
无 法 进行 功能 配置 和 管理 。 

。 ”智能 型 交换 机 。 这 种 交换 机 支持 基于 Web 的 图 形 化 管理 和 MIB-II, 无 须 使 用 复杂 的 命 
令 行 管理 方式 , 配置 和 维护 比较 容易 。 更 重要 的 是 , 智能 型 交换 机 提供 QoS 管理 .VPN、 
用 户 认证 以 及 多 媒体 传输 等 复杂 的 应 用 功能 ， 而 不 仅 是 转发 数据 分 组 。 

(6) 根据 适用 范围 划分 。 

网 络 的 分 层 结构 把 复杂 的 大 型 网 络 分 解 为 多 个 容易 管理 的 小 型 网 络 ， 每 一 层 交 换 设 备 分 别 
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加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


(2) 传输 模式 。 

。 ” 半 双 工 (half-duplex) 。 半 双 工 交换 机 在 一 个 时 间 段 内 只 能 有 一 个 动作 发 生 ， 发 送 和 接 

收 不 能 同时 进行 。 早 期 的 集线器 是 半 双 工 产品 ， 随 着 技术 进步 ， 半 双 工 方式 逐渐 被 淘 
汰 。 

。 ”全 双 工 (full-duplex)。 全 双 工 交换 机 在 发 送 数 据 的 同时 也 能 接收 数据 ,两 者 同步 进行 。 
全 双 工 传输 需要 使 用 两 对 双 绞 线 或 两 根 光纤 ， 一 般 双 绞 线 端口 和 光纤 端口 都 支持 全 双 
工 传输 模式 。 这 种 传输 模式 在 一 对 主机 之 间 建 立 了 一 条 虚拟 的 专用 连接 ， 使 得 数据 速 
率 成 倍 提高 。 

。 ”全 双 工 / 半 双 工 自 适应 。 在 以 上 两 种 方式 之 间 可 以 自动 切换 。 1000Base-TX 支持 自 适 应 ， 
而 1000Base-SX、1000Base-LX、1000Base-LH 和 1000Base-ZX 均 不 支持 自 适应 , 不 同 
速率 和 传输 模式 的 光纤 端口 间 无 法 进行 通信 ， 因 而 要 求 相互 连接 的 光纤 端口 必须 具有 
完全 相同 的 传输 速率 和 传输 模式 ， 否 则 将 导致 连通 故障 。 千 兆 光纤 端口 标准 如 表 8-1 


所 示 。 
表 8-1 干 兆 光纤 端口 标准 
标准 最 大 传输 距离 
62.5/125um 多 模 光 纤 220m 
1000Base-SX (Short-wave) 50/125um 多 模 光 纤 500m 
62.5/125um 多 模 光 纤 550m 
1000Base-LX (long-wave) 50/125um 多 模 光 纤 550m 
9/125um 单 模 光纤 10km 
1000Base-LH (long-haul) 9/125um 单 模 光 纤 40km 


1000Base-ZX (extended range) 9/125um 单 模 光纤 50km 或 80km 


(3) 包 转 发 率 。 包 转发 率 也 称 端口 吞吐 率 ， 指 交换 机 进行 数据 包 转 发 的 能 力 ， 单 位 为 pps 
(package per second)。 包 转发 速率 是 以 单位 时 间 内 发 送 64 字 节 数据 包 的 个 数 作为 计算 基准 的 。 
对 于 千 兆 以 太 网 来 说 ， 计 算 方法 如 下 : 

1000Mbpss=8b= (64 十 8 十 12) byte=1 488 095pps 

当 以 太 网 帧 为 64 字 节 时 ， 需 考虑 8 字 节 的 帧 头 和 12 字 节 的 帧 间隙 开销 。 据 此 ， 包 转发 速 
率 的 计算 方法 如 下 : 

包 转 发 率 = 千 兆 端口 数 X1.488Mpps 十 百 光 端 口 数 X0.1488Mpps 十 其 余 端 口 X 相 应 计算 方法 

(4) 背 板 带宽 。 交换 机 的 背 板 带宽 是 指 交 换 机 端口 处 理 器 和 数据 总 线 之 间 单 位 时 间 内 所 能 
传输 的 最 大 数据 量 。 背 板 带宽 标志 了 交换 机 总 的 交换 能 力 ， 单 位 为 Gbps。 一般 交换 机 的 背 板 带 
宽 从 几 个 Gbps 到 上 千 个 Gbps。 交 换 机 所 有 端口 能 提供 的 总 带宽 的 计算 公式 为 : 

总 带宽 一端 口 数 X 端 口 速率 X2〈 全 双 工 模式 ) 
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如 果 总 带宽 小 于 标 称 背 板 带宽 ， 那 么 可 以 认为 背 板 带 宽 是 线 速 的 。 例 如 ，Catalyst 6500 系 
列 交换 机 的 背 板 带 宽 可 扩展 到 256Gbps， 包 转发 速率 可 扩展 到 150Mpps。 

(5) MAC 地 址 数 。 交 换 机 可 以 识别 网 络 节点 的 MAC 地 址 ， 并 把 它 放 到 MAC 地 址 表 中 。 
MAC 地 址 表 存 放 在 交换 机 的 缓存 中 ， 当 需要 向 目标 地 址 发 送 数据 时 ， 交 换 机 就 在 MAC 地 址 表 
中 查找 相应 MAC 地 址 的 节点 位 置 , 然后 直接 向 这 个 位 置 的 节点 转发 。MAC 地 址 数 是 指 交 换 机 
的 MAC 地 址 表 中 可 以 存储 的 MAC 地 址 数量 。 

不 同 档次 的 交换 机 端口 所 能 够 支持 的 MAC 地 址 数量 不 同 。 在 交换 机 的 每 个 端口 ， 都 需 
要 足够 的 缓存 来 记忆 这 些 MAC 地 址 ， 所 以 缓存 容量 的 大 小 决定 了 交换 机 所 能 记忆 的 MAC 地 
址 数 。 

(6) VLAN 表 项 。VLAN 是 一 个 独立 的 广播 域 ， 可 有 效 地 防止 广播 风暴 。 由 于 VLAN 基于 
逻辑 连接 而 不 是 物理 连接 ， 因 此 配置 十 分 灵活 。 在 有 第 三 层 交换 功能 的 基础 上 ，VLAN 之 间 也 
可 以 通信 。 最 大 VLAN 数量 反映 了 一 台 交 换 机 所 能 支持 的 最 大 VLAN 数目 。 目前 交换 机 VLAN 
表 项 数目 在 1024 以 上 ， 可 以 满足 一 般 企 业 的 需要 。 

(7) 机 架 插 槽 数 。 固 定 配置 不 带 扩展 槽 的 交换 机 仅 支 持 一 种 类 型 的 网 络 ， 固 定 配置 带 扩展 
槽 的 交换 机 和 机 架 式 交换 机 可 支持 一 种 以 上 类 型 的 网 络 ， 例 如 以 太 网 、 快 速 以 太 网 、 干 兆 以 太 
网 、ATM 网 、 令 牌 环 网 及 FDDI 等 。 一 台 交 换 机 所 支持 的 网 络 类 型 越 多 ， 可 扩展 性 就 越 强 。 机 
架 插 模 数 是 指 机 架 式 交换 机 所 能 安插 的 最 大 模块 数 ， 扩 展 模 数 是 指 固定 配置 带 扩展 槽 的 交换 机 
所 能 安插 的 最 大 模块 数 。 


3. 交换 机 支持 的 以 太 网 协议 
有 关 交 换 机 的 以 太 网 协议 如 表 8-2 所 示 。 
表 8-2 交换 机 支持 的 以 太 网 协议 


TY 


IEEE 802.3i | 以 太 网 10Base-T 规范 两 对 UTP，RJ-45 连接 器 ， 传 输 距离 100m 

100Base-TX: 两 对 5 类 UTP， 支 持 10Mbps、100Mbps 自动 
协商 。 

100Base-T4: 四 对 3 类 UTP。 

100Base-FX: 光纤 

1000Base-SX: 短波 SMF。 

1000Base-LX: 长 波 SMF 或 MMF 


IEEE 802.3u | 快速 以 太 网 物理 层 规 范 


IEEE 802.3z | 千 兆 以 太 网 物理 层 规范 


IEEE 双 绞 线 千 兆 以 太 网 物理 层 
802.3ab 规范 

IEEE Link Aggregation Control | 链 路 汇聚 技术 可 以 将 多 个 链 路 绑 定 在 一 起 ， 形 成 一 条 高 速 
802.3ad Protocol (LACP) 链 路 ， 以 达到 更 高 的 带宽 ， 并 实现 链 路 备份 和 负载 均衡 


1000Base-TX 


i > 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


(2) AUI 端口 。AUI 端口 是 一 种 D 型 15 针 连 接 器 ， 用 在 令 牌 环 网 或 总 线 型 以 太 网 中 。 路 
由 器 经 AUI 端口 通过 粗 同 轴 电 缆 收 发 器 连接 10Base-5 网 络 ， 也 可 以 通过 外 接 的 AUI-to-RJ-45 
适配器 连接 10Base-T 以 太 网 ， 还 可 以 借助 其 他 类 型 的 适配器 实现 与 10Base-2 细 同 轴 电 费 或 
10Base-F 光缆 的 连接 。AUI 端口 如 图 8-9 所 示 。 


Ethemet Synchronous ISDN System 
AUILED serial LEDs BRILED OK LED 


Ethemet Synchronous port On/off Power 
AUI port serial ports (RJ-45) switch 
(DB-15) (DB-60) 


ISDN Auxiliary port 
BRIport (RJ-45) 
(RJ-45) 


图 8-9 路 由 器 背 板 示意 图 


(3) 高 速 同 步 串口 。 在 路 由 器 与 广域网 的 连接 中 ， 应 用 最 多 的 是 高 速 同步 串 行 口 
(Synchronous Serial Port)， 这 种 端口 用 于 连接 DDN、 帧 中 继 、X.25 和 PSTN 等 网 络 。 通 过 这 种 
端口 所 连接 的 网 络 两 端 要 求 同 步 通信 ， 以 很 高 的 速率 进行 数据 传输 。 高 速 同步 串 行 口 如 图 8-9 

(4) ISDN BRI 端口 。 ISDN BRI 端口 (如 图 8-9 所 示 ) 通过 ISDN 线路 实现 路 由 器 与 ntemet 
或 其 他 网 络 的 远程 连接 。ISDN BRI 三 个 通道 (2B+D) 的 总 带宽 为 144 Kbps， 端 口 采用 RJ-45 
标准 ， 与 ISDN NT1 的 连接 使 用 RJ-45-to-RJ-45 直通 线 。 

(5) 异步 串口 。 异 步 串口 (ASYNC) 主要 应 用 于 与 Modem 或 Modem 池 的 连接 ， 以 实现 
远程 计算 机 通过 PSTN 拨号 接 入 。 异 步 端口 的 速率 不 是 很 高 ， 也 不 要 求 同 步 传 输 ， 只 要 求 能 连 
续 通信 就 可 以 了 。 图 8-10 所 示 为 异步 串口 。 

(6) Console 端口 。Console 端口 通过 配置 专用 电线 连接 至 计算 机 串 行 口 ， 利 用 终端 仿真 程 
序 (如 Windows 中 的 超级 终端 ) 对 路 由 器 进行 本 地 配置 。 路 由 器 的 Console 端口 为 RJ-45 口 (如 
图 8-9 所 示 )。Console 端口 不 支持 硬件 流 控 。 

(7) AUX 端口 。 对 路 由 器 进行 远程 配置 时 要 使 用 AUX 端口 (Auxiliary Prot)， 如 图 8-9 所 
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示 。AUX 端口 在 外 观 上 与 RJ-45 端口 一 样 ， 只 是 内 部 电路 不 同 ， 实 现 的 功能 也 不 一 样 。 通 过 
AUX 端口 与 Modem 进行 连接 必须 借助 RJ-45 to DB9 或 RJ-45 to DB25 适配器 进行 电路 转换 。 
AUX 端口 支持 硬件 流 控 。 


国 oe 


1 ": 
OOOOSS SOSSOO OPOOO 


图 8-10 异步 串口 


3， 路 由 器 的 操作 系统 


一 般 的 路 由 器 都 有 一 个 操作 系统 ， 各 个 厂家 的 路 由 器 操作 系统 不 尽 相 同 ， 但 都 以 Cisco 的 
因特网 操作 系统 (Internetwork Operating System，IOS) 作为 工作 标准 。 熟 悉 了 Cisco IOS 的 操 
作 ， 对 其 他 路 由 器 操作 系统 也 不 难 掌握 。 

每 种 路 由 器 平台 的 IOS 版 本 都 不 同 ， 事 实 上 有 几 百 个 不 同 的 IOS 版 本 ， 甚 至 会 有 一 些 特定 
版 本 的 IOS 提供 一 些 特殊 的 功能 和 解决 方案 ， 例 如 适合 服务 提供 商 的 IOS、 适 合 企 业 的 IOS 或 
者 适合 SNA 集成 或 支持 IPX 的 IOS 等 。Cisco IOS 一 般 有 几 兆 字 节 大 小 ， 运 行 在 路 由 器 或 交换 
机 上 ， 为 这 些 交换 设备 提供 一 个 管理 平台 ， 确 保 网 络 的 连通 性 、 可 靠 性 、 安 全 性 、 服 务 质量 和 
可 伸缩 性 等 性 能 指标 。 

路 由 器 或 交换 机 的 操作 是 由 配置 文件 (configuration file 或 config) 控制 的 。 配 置 文件 包含 
有 关 设 备 如 何 操作 的 指令 ， 是 由 网 络 管理 员 创建 的 ， 一 般 有 几 百 到 几 千 个 字 节 大 小 。 

IOS 的 每 一 个 组 件 都 是 作为 独立 的 文件 存放 在 存储 器 中 ,不 同类 型 的 存储 器 见 下 面 的 介绍 。 

IOS 命令 在 所 有 路 由 器 产品 中 都 是 通用 的 。 这 意味 着 只 要 掌握 一 个 操作 界面 就 可 以 了 ， 即 
命令 行 界面 (Command Line Interface, CLI)。 所 以 无 论 是 通过 控制 台 端 口 , 或 通过 一 部 Modem， 
还 是 通过 Telnet 连接 来 配置 路 由 器 ， 看 到 的 命令 行 界面 都 是 相同 的 。 

IOS 有 三 种 命令 模式 ， 即 用 户 模式 (User mode)、 特 权 模式 (Privileged mode) 和 配置 模式 
(Configuration mode)。 在 不 同 的 命令 模式 中 可 执行 的 命令 集 不 同 ， 可 实现 的 管理 功能 也 不 同 ， 
详 见 下 面 的 解释 。 


8.1.3 访问 路 由 器 和 交换 机 
要 对 网 络 互 连 设备 进行 具体 的 配置 首先 就 要 有 效 地 访问 它们 ,一 般 来 说 可 以 用 以 下 几 种 方 
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法 访问 路 由 器 或 交换 机 。 

(1) 通过 设备 的 Console (控制 台 ) 端口 接 终端 或 运行 终端 仿真 软件 的 计算 机 。 

(2) 通过 设备 的 AUX 端口 接 Modem, 通过 电话 线 与 远方 的 终端 或 运行 终端 仿真 软件 的 计 
算 机 相连 。 

(3) 通过 Telnet 程序 。 

(4) 通过 浏览 器 访问 。 

(5) 通过 网 管 软件 。 

下 面 以 路 由 器 为 例 给 出 几 种 访问 网 络 互 连 设备 方法 的 连接 图 (如 图 8-11 所 示 )。 


Web Server Telnet 网 管 工 作 站 


Console 
局 Gp 局 


终端 /仿真 终端 路 由 器 Modem 终端 /仿真 终端 
图 8-11 访问 路 由 器 的 儿 种 方法 


但 是 ， 路 由 器 的 第 一 次 设置 必须 通过 第 一 种 方法 来 实现 ， 同 时 第 一 种 方法 也 是 最 常用 、 最 
直接 有 效 的 一 种 配置 方法 。 因 此 ， 本 书 中 对 路 由 器 和 交换 机 的 配置 都 是 通过 Console 端口 连接 
运行 超级 终端 仿真 软件 的 PC 来 实现 。 

Console 端口 是 路 由 器 和 交换 机 设备 的 基本 端口 ， 它 是 对 一 台新 的 路 由 器 和 交换 机 进行 配 
置 时 必须 使 用 的 接口 。 连 接 Console 端口 的 线 称 为 控制 台电 缆 (Console Cable)。 在 具体 的 连接 
上 ，Console 电缆 一 端 插入 网 络 设备 的 Console 端口 ， 另 一 端 接 入 终端 或 PC 的 串 行 接口 ， 从 而 
实现 对 设备 的 访问 和 控制 。 


8.2 ”交换 机 的 配置 
不 同 厂家 生产 的 不 同型 号 的 交换 机 ， 其 具体 的 配置 命令 和 方法 是 有 差别 的 。 不 过 配置 的 原 


理 基本 都 是 相同 的 , 本 节 中 主要 以 Cisco Crystal 2950 系列 交换 机 为 例 讲解 交换 机 配置 的 基本 技 
术 和 技能 。 
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加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


Cisco Internetwork Operating System Software 

IOS (tm) C2950 Software (C2950-I6Q4L2-M), Version 12.1(13)EA1, RELEASE SOFTWARE 
(fcl) 

Copyright (c) 1986-2003 by cisco Systems, Inc. 

Compiled Tue 04-Mar-03 02:14 by yenanh 

JImasge text-Base: 0x80010000, data-Base: 0x805A8000 


Initializing flashfs... (初始 化 Flash 文件 系统 ) 
flashfs[1]: 18 files, 2 directories 

flashfs[1]: 0 orphaned files, 0 orphaned directories 

flashfs[1]: Total bytes: 7741440 

flashfs[1]: Bytes used: 4871168 

flashfs[1]: Bytes available: 2870272 

flashfs[1]: flashfs fsck took 7 seconds. 

flashfs[1]: Initialization complete. 

Done initializing flashfs. 


POST: System Board Test : Passed (系统 板 自 检 》 

POST: Ethernet Controller Test : Passed (以 太 网 控制 器 自 检 》 
ASIC Initialization Passed (专用 芯片 自 检 ) 
POST: FRONT-END LOOPBACK TEST : Passed 〈 环 路 自 检 ) 


cisco WS-C2950-24 (RC32300) processor (revision J0) with 20839K bytes of memory. 


Processor board ID FOC0718YOEA 

Last reset from system-reset 

Running Standard Image (软件 版 本 为 标准 版 
24 FastEthernet/TEEE 802.3 interface(s) 


32K bytes of flash-simulated non-volatile configuration memory. 
Base ethernet MAC Address: 00:0D:28:C0:12:40 
(以 下 为 各 部 件 号 、 序 列 号 及 版 本 号 ) 
Motherboard assembly number: 73-5781-11 
Power supply part number: 34-0965-01B0 
Motherboard serial number: FOC061903RT 
Power supply serial number: PHIO714070Y 
Model revision number: JO 
Motherboard revision number: A0 


0 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


C2950(config)#ip domain-name cisco.com (设置 域名 ) 

C2950(config)#ip name-server 200.0.0.1 (设置 域名 服务 器 ) 

C2950(config)#end 

(3) 配置 交换 机 的 端口 属性 。 交 换 机 的 端口 属性 默认 地 支持 一 般 网 络 环境 下 的 正常 工作 ， 
一 般 情况 下 是 不 需要 对 其 端口 进行 设置 的 。 在 某 些 情况 下 需要 对 其 端口 属性 进行 配置 时 ， 配 置 
的 对 象 主要 有 速率 、 双 工 和 端口 描述 等 信息 。 


C2950(config)#interface fastethernet0/1 (进入 接口 0/1 的 配置 模式 ) 
C2950(config-if}#speed ? (查看 speed 命令 的 子 命令 ) 
10 Force 10 Mbps operation (显示 结果 ) 


100 Force 100 Mbps operation 
auto Enable AUTO speed configuration 
C2950(config-if}#speed 100 (设置 该 端口 速率 为 100Mbps) 
C2950(config-if}y#duplex ? (查看 duplex 命令 的 子 命令 ) 
auto Enable AUTO duplex configuration 
full Force full duplex operation 


half Force half-duplex operation 
C2950(config-if}#duplex full (设置 该 端口 为 全 双 工 ) 
C2950(config-if)#description TO_PC1 (设置 该 端口 描述 为 TO_PC1) 
C2950(config-if)#^Z (返回 到 特权 模式 ， 同 end) 
C2950#show interface fastethernet0/1 (查看 端口 0/1 的 配置 结果 ， 结 果 略 ) 
C2950#show interface fastethernet0/1 status (查看 端口 0/1 的 状态 ， 结 果 略 ) 


(4) 配置 和 查看 MAC 地 址 表 。 有 关 MAC 地 址 表 的 配置 有 三 个 方面 ， 即 超时 时 间 、 永 久 
地 址 和 限制 性 地 址 。 交 换 机 学 习 到 的 动态 MAC 地 址 的 超时 时 间 默 认为 300s， 可 以 通过 命令 来 
修改 这 个 值 。 设 置 了 静态 MAC 地 址 ， 这 个 地 址 永久 存在 于 MAC 地 址 表 中 ， 不 会 超时 ， 所 有 
端口 均 可 以 转发 以 太 网 帧 给 该 端口 。 限 制 性 静态 (restricted static) 地 址 是 在 永久 地 址 的 基础 上 ， 
同时 限制 了 源 端口 ， 其 安全 性 更 高 。 


C2950(config)#mac-address-table ? (查看 mac-address-table 的 子 命令 ) 
aging-time Aging time of dynamic addresses 
permanent Configure a permanent address 
Testricted Configure a restricted static address 


C2950(config)#mac-address-table aging-time 100 (设置 超时 时 间 为 100s) 
C2950(config)#mac-address-table permanent 0000.0c01.bbcc f0/3 (加 入 永久 地 址 ) 
C2950(config)#mac-address-table restricted static 0000.0c02.bbcc f0/6 f0/7 (加 入 限制 静态 地 址 》 
C2950(config)#end 

C2950#show mac-address-table (查看 整个 MAC 地 址 表 ) 
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加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


交换 机 的 初始 状态 是 工作 在 透明 模式 ， 有 一 个 默认 的 VLAN， 所 有 的 端口 都 属于 这 
个 VLAN。 


1. 划分 VLAN 的 方法 


虚拟 局 域 网 是 交换 机 的 重要 功能 ， 通 常 虚拟 局 域 网 的 实现 形式 有 三 种 ， 即 静态 端口 分 配 、 
动态 虚拟 网 和 多 虚拟 网 端口 配置 。 

静态 虚拟 网 的 划分 通常 是 网 管 人 员 使 用 网 管 软件 或 直接 设置 交换 机 的 端口 , 使 其 直接 从 属 
某 个 虚拟 网 。 这 些 端 口 一 直 保 持 这 些 从 属性 ,除非 网 管 人 员 重 新 设置 。 这 种 方法 虽然 比较 麻烦 ， 
但 比较 安全 ， 容 易 配 置 和 维护 。 

支持 动态 虚拟 网 的 端口 ， 可 以 借助 智能 管理 软件 自动 确定 它们 的 从 属 。 端 口 是 通过 借助 网 
络 包 的 MAC 地址、 逻辑 地 址 或 协议 类 型 来 确定 虚拟 网 的 从 属 。 当 一 个 网 络 节点 刚 连接 入 网 时 ， 
交换 机 端口 还 未 分 配 ， 于 是 交换 机 通过 读 取 网 络 节点 的 MAC 地 址 动态 地 将 该 端口 划 入 某 个 虚 
拟 网 。 这 样 ， 一 旦 网 管 人 员 配置 好 后 ， 用 户 的 计算 机 可 以 灵活 地 改变 交换 机 端口 ， 而 不 会 改变 
该 用 户 的 虚拟 网 从 属性 。 

多 虚拟 网 端口 配置 支持 一 个 用 户 或 一 个 端口 可 以 同时 访问 多 个 虚拟 网 。 这 样 可 以 将 一 台 网 
络 服务 器 配置 成 多 个 业务 部 门 〈 每 种 业务 设置 成 一 个 虚拟 网 ) 都 可 同时 访问 ， 也 可 以 同时 访问 
多 个 虚拟 网 的 资源 ， 还 可 让 多 个 虚拟 网 间 的 连接 只 需 一 个 路 由 端口 即 可 完成 。 但 这 样 会 带 来 安 
全 上 的 隐患 。 

静态 虚拟 网 是 最 普遍 使 用 的 一 种 划分 VLAN 的 方法 ， 下 面 就 以 该 方法 为 例 介绍 VLAN 配 
置 的 知识 。 


2， 配置 VTP 协议 


为 了 让 读者 清楚 地 了 解 VIP (VLAN Trunking Protocol) 协议 的 工作 情况 以 及 如 何 来 配置 
VTP 协议, 结合 一 个 综合 实例 ,如 图 8-15 所 示 的 拓扑 结构 来 配置 VTP 协议 及 跨 交 换 机 的 VLAN。 
用 交叉 双 绞 线 把 2950A 交换 机 的 FastEthermet0/24 端口 和 2950B 交换 机 的 FastEthernet0/24 端口 
连接 起 来 ， 作 为 两 交换 机 间 的 Trunk 线路 。 

配置 2950A 交换 机 为 服务 器 模式 。 


Switch>enable (进入 特权 模式 ) 
Switch#config terminal (进入 配置 子 模式 ) 
Switch(config)j#hostname 2950A (修改 主机 名 为 2950A) 
2950A(config)#end 

2950A# 

2950A #vlan dataBase (进入 VLAN 配置 子 模式 ) 


四 ew 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


OVTP V2 Mode : Disabled 

VTP Traps Generation : Disabled 

MDS digest : 0x82 0x6B OxFB 0x94 0x41 OxEF 0x92 0x30 
Configuration last modified by 0.0.0.0 at 3-1-93 00:02:51 

2950A# 


配置 2950B 交换 机 为 客户 端 模 式 ， 则 它 会 从 服务 器 (2950A) 那里 学 习 到 VTP 的 其 他 信息 
及 VLAN 信息 。 


Switch#config terminal (进入 配置 子 模式 ) 
Switch(config)#hostname 2950B (修改 主机 名 为 2950B) 
2950B(config)#end 

2950B#vlan dataBase 

2950B(vlan)#vtp client 

Setting device to VTP CLIENT mode. 

2950B(vlan)#exit 


3. 配置 VLAN Trunk 端口 


跨 交换 机 的 同一 VLAN 内 的 数据 经 过 Trunk 线路 进行 交换 ， 默 认 情况 下 trunk 允许 所 有 的 
VLAN 通过 。 可 以 使 用 switchport trunk allowed vlan remove vlan-list 来 去 掉 某 一 VLAN。 可 
以 在 交换 机 2950A 和 2950B 上 做 如 下 相同 的 配置 操作 。 

Switch#config 


Configuring from terminal, memory, or network [terminal]? 
Enter configuration commands, one per line. End with CNTL/Z. 


Switch(config)#interface f0/24 (进入 端口 24 配置 模式 ) 
Switch(config-if)#switchport mode trunk (设置 当前 端口 为 Trunk 模式 ) 
Switch(config-if)# switchport trunk allowed vlan all (设置 允许 从 该 端口 交换 数据 的 VLAN) 
Switch(config-if)#exit 

Switch(config)#exit 

Switch# 

4. 创建 VLAN 


VLAN 信息 可 以 在 服务 器 模式 或 透明 模式 交换 机 上 创建 。 这 里 在 2950A 交换 机 上 创建 两 个 
VLAN。 


2950A#vlan dataBase 
2950A (vlan)#vlan 2 (创建 一 个 VLAN2) 
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VLAN 2 added: 


Name: VLAN0002 (系统 自动 命名 ) 
2950A (vlan)#vlan 3 name vlan3 (创建 一 个 VLAN3， 并 命名 为 vlan3) 
VLAN 3 added: 

Name: vlan3 
2950A (vlan)#exit 


5. 将 端口 加 入 到 某 个 VLAN 中 


配置 完 VTP 协议 及 VLAN Trunk 端口 后 就 可 以 设置 将 端口 归属 于 哪个 VLAN。 在 交换 机 


2950A 和 2950B 上 做 如 下 相同 的 配置 操作 ,， 则 Vlan2 中 包含 两 个 交换 机 的 fa0/9 端口 ，Vlan3 中 
包含 两 个 交换 机 的 fo/10 端口 ， 其 余 端 口 可 以 做 类 似 设置 。 除 了 加 入 Vlan2 和 Vlan3 的 端口 外 ， 
其 余 各 端口 均 属 于 Vlanl 交换机 默认 的 VLAN)。 


Switch#config termilal 

Enter configuration commands, one per line. End with CNTL/Z. 

Switch(config)#interface f0/9 (进入 端口 9 的 配置 模式 ) 
Switch(config-if)#switchport mode access (设置 端口 为 静态 VLAN 访问 模式 ) 
Switch(config-if)#switchport access vlan 2 (把 端口 9 分 配给 相信 的 VLAN2) 


Switch(config-if)#exit 

Switch(config)#interface f0/10 

Switch(config-if}#switchport mode access 

Switch(config-if)#switchport access vlan 3 

Switch(config-if)#exit 

Switch(config)#exit 

Switch#show vlan (查看 VLAN 配置 信息 ) 
(结果 省 略 ) 

Switch# 


8.2.4 生成 树 协 议 配置 


生成 树 协议 是 交换 式 以 太 网 中 的 重要 概念 和 技术 ， 该 协议 的 目的 是 在 实现 交换 机 之 间 元 余 


连接 的 同时 ， 避 免 网 络 环 路 的 出 现 ， 实 现 网 络 的 高 可 靠 性 。 它 通过 在 交换 机 之 间 传 递 BPDU 
(Bridge Protocol Data Unit， 桥 接 协 议 数据 单元 ) 来 互相 告知 诸如 交换 机 的 桥 ID、 链 路 性 质 和 根 
桥 ID 等 信息 ， 以 确定 根 桥 ， 决 定 哪些 端口 处 于 转发 状态 ， 哪 些 端口 处 于 阻 断 状态 ， 以 免 引起 
网 络 环 路 。 


当 交 换 机 之 间 有 多 个 VLAN 时 Trunk 线路 负载 会 过 重 ， 这 时 需要 设置 多 个 Trunk 端口 , 但 


这 样 会 形成 网 络 环 路 。 而 STP 协议 便 可 以 解决 这 一 问题 。 


四 :7 医 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


交换 机 就 可 以 学 习 到 Switchl 交换 机 上 的 VLAN 信息 ， 可 以 用 show vlan 命令 来 验证 Switch2 
交换 机 是 否 学 习 到 了 VLAN 信息 .配置 完 Switch2 交换 机 的 VTP 和 Trunk 以 后 , 又 回 到 Switchl 


交换 机 上 来 配置 STP。 


(配置 STP 权 值 ) 
Switchl#config Terminal 
Switchl(config)#interface f0/23 
Switchl(config-if)# spanning-tree vlan 1 port-priority 10 
Switchl(config-if)# spanning-tree vlan 2 port-priority 10 
Switchl(config-if)# spanning-tree vlan 3 port-priority 128 
Switchl(config-if)# spanning-tree vlan 4 port-priority 128 
Switchl(config-if)# spanning-tree vlan 5 port-priority 128 
Switchl(config-if)#exit 
Switchl(config)#interface f0/24 
Switchl(config-if)# spanning-tree vlan 1 port-priority 128 
Switchl(config-if)# spanning-tree vlan 2 port-priority 128 
Switchl(config-if)# spanning-tree vlan 3 port-priority 10 
Switchl(config-if)# spanning-tree vlan 4 port-priority 10 
Switchl(config-if)# spanning-tree vlan 5 port-priority 10 
Switchl(config-if)#end 
Switchl#copy running-config startup-config 


(进入 端口 23 配置 模式 ，Trank1) 
(将 VLAN 1 的 端口 权 值 设 为 10) 
(将 VLAN 2 的 端口 权 值 设 为 10) 
(将 VLAN 3 的 端口 权 值 设 为 128) 
(将 VLAN 4 的 端口 权 值 设 为 128) 
(将 VLAN 5 的 端口 权 值 设 为 128) 


(进入 端口 24 配置 模式 ，Trank2) 
(将 VLAN 1 的 端口 权 值 设 为 128) 
(将 VLAN2 的 端口 权 值 设 为 128) 
(将 VLAN 3 的 端口 权 值 设 为 10) 
(将 VLAN 4 的 端口 权 值 设 为 10) 
(将 VLAN 5 的 端口 权 值 设 为 10) 


(保存 配置 文件 》 


这 样 , 由 于 分 别 设置 了 不 同 Trunk 上 不 同 VLAN 的 权 值 , 而 默认 情况 下 的 权 值 为 128, STP 
协议 就 可 以 根据 权 值 的 大 小 来 使 Trunkl 发 送 和 接收 VLAN1-2 的 数据 ，Trunk2 发 送 和 接收 


VLAN3-5 的 数据 ， 来 实现 负载 均衡 的 目的 。 
2. 配置 STP 路 径 值 的 负载 均衡 


也 可 以 通过 配置 STP 路 径 值 来 实现 负载 均衡 ， 如 图 8-17 所 示 。Trunkl 走 VLAN1-2 的 数 


据 ，Trunk2 走 VLAN3-5 的 数据 。 


Switch1 


Trunkl 
VLAN1-2(path cost 19) 
VLAN3-5(path cost 30) 


Switch2 
图 8-17 STP 路 径 值 的 负载 均衡 


Trunk2 
VLAN3-5(path cost 19) 
VLAN1-2(path cost 30) 


中 oo 医 


其 中 ，VTP 及 VLAN Trunk 的 配置 和 上 面相 同 ， 在 此 不 再 列 出 。 只 说 明 在 配置 好 VTP 协 
议和 VLAN Trunk 端口 后 在 服务 器 (Switchl ) 上 如 何 配置 STP 路 径 值 。 


Switchl#config Terminal 

Switchl(config)#interface f0/23 (进入 端口 23 配置 模式 ， 配 置 Tronk1) 
Switchl(config-if)#spanning-tree vlan 1 cost 19 (设置 VLAN3 生成 树 路 径 值 为 19) 
Switchl(config-if}#spanning-tree vlan 2 cost 19 (设置 VLAN4 生成 树 路 径 值 为 19) 
Switchl(config-if)#spanning-tree vlan 3 cost 30 (设置 VLAN3 生成 树 路 径 值 为 30) 
Switchl(config-if)#spanning-tree vlan 4 cost 30 (设置 VLAN4 生成 树 路 径 值 为 30) 
Switchl(config-iD#fspanning-tree vlan 5 cost 30 (设置 VLANS 生成 树 路 径 值 为 30) 
Switchl(config-if)#exit 

Switchl(config)#interface f0/24 (进入 端口 24 配置 模式 ， 配 置 Trunk1) 
Switchl(config-iD#fspanning-tree vlan 1 cost 30 (设置 VLAN3 生成 树 路 径 值 为 30) 
Switchl(config-iD#spanning-tree vlan 2 cost 30 (设置 VLAN4 生成 树 路 径 值 为 30) 
Switchl(config-if)#spanning-tree vlan 3 cost 19 (设置 VLAN3 生成 树 路 径 值 为 19) 
Switchl(config-iD#spanning-tree vlan 4 cost 19 (设置 VLAN4 生成 树 路 径 值 为 19) 
Switchl(config-if)#spanning-tree vlan 5 cost 19 (设置 VLANS 生成 树 路 径 值 为 19) 
Switchl(config-if)#end 

Switchl# 


这 样 ， 将 希望 阻 断 的 VLAN 生成 树 路 径 设 大 ，STP 协议 就 会 阻 断 该 VLAN 从 该 Trunk 上 
通过 ， 从 而 可 以 把 负载 均衡 到 多 个 Trunk 端口 上 。 


8.3 ”路 由 器 的 配置 


现在 市 场 上 路 由 器 也 是 种 类 繁多 、 型 号 各 异 ， 但 Cisco 的 中 高 端 路 由 器 仍然 点 市 场 主流 ， 
也 具有 一 定 的 代表 性 。 本 节 就 结合 Cisco 路 由 器 来 讲解 有 关 路 由 器 配置 的 相关 技术 和 知识 。 


8.3.1 路 由 器 概述 


路 由 器 (Router) 是 一 种 典型 的 网 络 层 设备 ， 在 OSI 参考 模型 中 被 称 为 中 介 系 统 ， 完 成 网 
络 层 中 继 或 第 三 层 中 继 的 任务 。 路 由 器 负责 在 两 个 局 域 网 的 网 络 层 间接 传输 数据 分 组 ， 并 确定 
网 络 上 数据 传送 的 最 佳 路 径 。 也 因为 它们 运行 IP 协议 基于 第 三 层 信息 来 为 分 组 选择 路 由 (如 
图 8-18 所 示 )， 所 以 路 由 器 已 经 成 为 Intemet 的 骨干 。 

路 由 器 是 用 于 连接 多 个 逻辑 上 分 开 的 网 络 ， 所 谓 逻 辑 网 络 ， 是 代表 一 个 单独 的 网 络 或 者 一 
个 子 网 。 当 数据 从 一 个 子 网 传输 到 另 一 个 子 网 时 ， 可 通过 路 由 器 来 完成 。 因 此 ， 路 由 器 具有 判 
断 网 络 地 址 和 选择 路 径 的 功能 ， 它 能 在 多 网 络 互联 环境 中 建立 灵活 的 连接 ， 可 用 完全 不 同 的 数 
据 分 组 和 介质 访问 方法 连接 各 种 子 网 。 它 不 关心 各 子 网 使 用 的 硬件 设备 ， 但 要 求 运行 与 网 络 层 
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加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


在 特权 模式 下 ， 用 户 可 以 发 出 丰富 的 命令 ， 以 便 更 好 地 控制 和 使 用 路 由 器 ; 在 配置 模式 下 ， 用 
户 可 以 创建 和 更 改 路 由 器 的 配置 ， 对 路 由 器 的 管理 和 配置 主要 工作 在 配置 模式 下 。 

其 中 ， 配 置 模式 又 分 为 全 局 配置 模式 和 接口 配置 模式 、 路 由 协议 配置 模式 、 线 路 配置 模式 
等 子 模式 。 在 不 同 的 工作 模式 下 ， 路 由 器 有 不 同 的 命令 提示 状态 。 


2. 


Router>。 路 由 器 处 于 用 户 执 行 模式 命令 状态 ， 这 时 用 户 可 以 看 路 由 器 的 连接 状态 ， 访 
问 其 他 网 络 和 主机 ， 但 不 能 看 到 和 更 改 路 由 器 的 设置 内 容 。 

Router# 。 在 Router> 提 示 符 下 输入 enable， 路 由 器 进入 特权 命令 状态 Router#， 这 时 
不 但 可 以 执行 所 有 的 用 户 命令 ， 还 可 以 看 到 和 更 改 路 由 器 的 设置 内 容 。 
Router(config)j# 。 在 Router# 提 示 符 下 输入 configure terminal， 出 现 提 示 符 Router 
(config)#， 此 时 路 由 器 处 于 全 局 设置 状态 ， 这 时 可 以 设置 路 由 器 的 全 局 参数 。 
Router(config-ib#，router(config-linej#，router(config-routeD#，…。 路 由 器 处 于 局 部 设 
置 状态 ， 这 时 可 以 设置 路 由 器 某 个 局 部 的 参数 。 

>。 路 由 器 处 于 RXBOOT 状态 ， 在 开机 后 60s 内 按 Ctrltbreak 组 合 键 可 进入 此 状态 ， 
这 时 路 由 器 不 能 完成 正常 的 功能 ， 只 能 进行 软件 升级 和 手工 引导 。 或 者 进行 路 由 器 口 
令 恢复 时 要 进入 该 状态 。 

设置 对 话 状态 。 这 是 一 台新 路 由 器 开机 时 自动 进入 的 状态 , 在 特权 命令 状态 使 用 setup 
命令 也 可 进入 此 状态 ， 这 时 可 通过 对 话 方式 对 路 由 器 进行 设置 。 


路 由 器 的 基本 配置 


配置 enable 口令 、enable 密码 和 主机 名 , 在 路 由 器 中 同样 可 以 配置 使 能 口令 (enable password) 
和 使 能 密码 (enable secret)， 一 般 情况 下 只 需 配 置 一 个 就 可 以 ， 当 两 者 同时 配置 时 ， 后 者 生效 。 
这 两 者 的 区 别 是 使 能 口令 以 明文 显示 而 使 能 密码 以 密 文 形式 显示 。 主 机 名 及 路 由 器 口令 的 设置 
和 上 节 对 交换 机 配置 的 主机 名 及 口令 相同 ， 这 里 不 再 复述 。 

配置 路 由 器 以 太 网 接口 ， 路 由 器 一 般 提供 一 个 或 多 个 以 太 网 接口 模 ， 每 个 模 上 会 有 一 个 以 
上 以 太 网 接口 。 以 太 网 接口 也 因此 而 命名 为 {Ethemet 槽 位 /端口 } 或 {FastEthemet 槽 位 /端口 }, 例 
如 FastEthemet0/0、FastEthernetl/1， 也 可 缩写 为 FI/0、Fl1/1。 

以 Cisco2600 系列 路 由 器 为 例 ， 电 线 连 接 如 图 8-19 所 示 ， 连 接 好 仿真 终端 到 路 由 器 的 
Console 电缆 线 ， 就 可 以 对 路 由 器 进行 初始 的 配置 工作 。 配 置 以 太 网 接口 如 下 。 
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Console 电 缆 


图 8-19 仿真 终端 与 路 由 器 的 连接 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


人 
(ewe 第 章 


在 linel-8 线路 上 设置 transport input all 来 指明 所 有 的 协议 可 被 用 于 连接 到 指定 的 路 由 器 线 


路 。 根据 以 上 要 求 配置 好 的 终端 服务 器 清单 如 下 。 


Current configuration 
! 
version 12.2 
service timestamps debug uptime 
service timestamps log uptime 
Do service password-encryption 
! 
hostname Term_Server (主机 名 )》 
! 
enable secret 5 $1$1MKoS$htleQKTbMW4h1RbNXTIF9. 
enable password 2600 
! 
ip subnet-zero 
! 
ip host router 2001 10.1.1.1 (主机 表 ) 
ip host router 2002 10.1.1.1 
! 
interface loopback0 ( 回 送 接口 》 
ipaddr 10.1.1.1 255.255.255.255 
interface FastEthernet0/0 
no ip address 
! 
interface FastEthemetO/1 
Do ip address 
! 
ip classless 
ip http server 
ip pim bidir-enable 
! 
line con 0 
line18 
no exec 
transport input all 
line aux 0 
line vty 04 


| ev | 


password userll 


login 
! 


end 


下 面 来 看 如 何 通过 终端 服务 器 访问 其 他 路 由 器 以 及 如 何在 多 个 路 由 器 会 话 间 切 换 。 通 过 下 
面 的 配置 清单 来 设置 另外 两 个 路 由 器 的 主机 名 。 


Term Server# 

Term _ Server#router1l 

Trying routerl (10.1.1.1, 2001)...Open 
Router>enable 

Router#config t 


Enter configuration commands, one per line. 


Router(config)#hostname router1 
Routerl(config)#end 
Routerl# 


(访问 主机 表 中 的 routerl 路 由 器 


End with CNTL/Z. 


(设置 路 由 器 1 的 主机 名 ) 


(会 话 切 换 命令 Ctrl+Shift+6 后 接 x， 即 先 同时 按 下 Ctrl+Shift+6 组 合 键 ， 松 开 后 青 按 下 x 键 ) 


Term Server# 

Term Server#router2 

Trying router2 (10.1.1.1, 2002)...Open 
Router>enable 

Router#config t 


Enter configuration commands, one per line. 


Router(config)#hostname router2 
Router2(config)#end 
Router2# 

(会 话 切换 命令 Ctrl+Shiftt6 后 接 x) 
Term Server#show sessions 
Conn Host Address 

| routerl 10.1.1.1 

之 Iouter2 10.1.1.1 
Term Server#disconnect 2 
Term Server#show line 1 
Term Server#clear line 2 


4. 配置 静态 路 由 


End with CNTL/Z. 


(查看 终端 服务 器 的 会 话 ) 
Byte Idle Conn Name 
0 0 routerl 
0 0 Touter2 

( 断 开会 话 2) 

(查看 线路 1 的 状态 ) 

(清除 线路 2) 


通过 配置 静态 路 由 ， 用 户 可 以 人 为 地 指定 对 某 一 网 络 访问 时 所 要 经 过 的 路 径 ， 在 网 络 结构 


ee 


比较 简单 ， 且 一 般 到 达 某 一 网 络 所 经 过 的 路 径 唯 一 的 情况 下 采用 静态 路 由 。 通 过 以 下 实例 来 让 
大 家 掌握 静态 路 由 的 设置 、 查 看 路 由 表 ， 理 解 路 由 原理 及 概念 。 

1) IPv4 静态 路 由 设置 

如 图 8-21 所 示 设 计 拓 扑 结构 ， 3 台 路 由 器 分 别 命名 为 R1I、R2 和 R3， 所 使 用 的 接口 和 相 
应 的 下 地 址 分 配 如 图 中 所 示 ， 其 中 “/24” 表 示 子 网 掩 码 为 24 位 ， 即 255.255.255.0。 配 置 中 所 
用 到 的 终端 服务 器 不 在 图 中 标 出 。 

要 在 路 由 器 中 配置 静态 路 由 以 实现 路 由 器 R2 到 R3 在 人 P 层 的 连通 性 ， 也 就 是 要 求 从 R2 
可 以 ping 通 R3， 从 R3 可 以 ping 通 Rl。 


图 8-21 静态 路 由 实例 图 


[l 


首先 根据 拓扑 结构 图 配置 各 路 由 器 的 以 太 网 接口 ， 配 置 方法 在 前 面 已 经 讲 过 ， 这 里 不 再 重 
复 。 从 接口 的 配置 工作 完成 之 后 开始 讲解 静态 路 由 的 配置 。 

配置 好 以 太 网 接口 后 来 测试 路 由 器 间 基 本 的 连通 性 。 首 先 从 R1 路 由 器 ping 路 由 器 R2 
和 R3。 


Rl#ping 10.1.1.2 (ping R2， 结 果 连 通 ) 

Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 10.1.1.2, time out is 2 seconds: 

UL 

Success rate is 100 percent(5/5), round-trip min/avg/nax=4/4/4 ms 

Rl#ping 192.168.1.3 (ping R3， 结 果 连 通 ) 

Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 192.168.1.3, time out is 2 seconds: 

Success rate is 100 percent(5/5), round-trip min/avg/nax=4/4/4 ms 
从 了 R2 路 由 器 ping 路 由 器 Rl 的 El 接口 。 
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加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


ip icmp 命令 来 监视 卫 包 和 ICMP 包 的 传输 情况 而 知 。 


R2#ping 192.168.1.3 (pingR3 的 E0 接口 ， 结 果 不 连通 ) 
Type escape sequence to abort. 


Sending 5, 100-byte ICMP Echos to 192.168.1.1, time out is 2 seconds: 
Win 


Success rate is 0 percent(0/5) 


此 时 需要 在 R3 上 加 入 发 往 R2 网 段 数据 包 的 路 由 信息 。 


R3#config t 
R3(config)#ip route 10.1.1.0 255.255.255.0 192.168.1.1 (加 入 静态 路 由 ) 
R3(config)#end 


这 样 一 来 ， 就 可 以 实现 路 由 器 R2 到 R3 之 间 的 连通 性 ， 互 相 可 以 ping 通 对 方 接口 的 他 地 
址 。 应 该 注意 的 是 ， 在 有 些 路 由 器 上 默认 情况 是 不 启动 瑟 路 由 的 ， 这 时 可 以 用 ip routing 和 no 
ip routing 来 启动 和 关闭 ip 路 由 。 

2) IPv6 静态 路 由 设置 

网 络 拓扑 结构 如 图 8-22 所 示 ， 两 台 路 由 器 分 别 命名 为 R1 和 R2， 所 使 用 的 接口 和 相应 的 
卫 地 址 分 配 如 图 中 所 示 。 


E0:2005:CCCC::1/64 


PC1 PC2 
IPv6 地 址 :2005:CCCC::2/64 IPv6 地 址 :2004:CCCC::2/64 
网 关 地 址 : 2005:CCCC::1 网 关 地 址 : 2004:CCCC::1 


图 8-22 JIPv6 静态 路 由 实例 图 


要 在 路 由 器 中 配置 IPv6 静态 路 由 以 实现 PC1 到 PC2 在 人 P 层 的 连通 性 , 也 就 是 要 求 从 PC1 
可 以 ping 通 PC2。 
R1 相关 配置 如 下 。 


Router# 
Router# configure terminal 


ee 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


2005:AAAA::1, subnet is 2005:AAAA::/64 
Joined group address(es): 

FFO02::] 

FFO02::1:FF00:1 

FFO02::1:FF9B:2201 
MTU is 1500 bytes 
ICMP error messages limited to one every 100 milliseconds 
ICMP redirects are enabled 
ICMP unreachables are sent 
ND DAD is enabled, number of DAD attempts: 1 
ND reachable time is 30000 milliseconds 
ND advertised reachable time is 0 milliseconds 
ND advertised retransmit interval is 0 milliseconds 
ND router advertisements are sent every 200 seconds 
ND router advertisements live for 1800 seconds 
ND advertised default router preference is Medium 
Hosts use stateless autoconfig for addresses. 

Serial0/2/0 is up, line protocol is up 

JPv6 is enabled, link-local address is FE80::2E0:BOFF:FEC9:1701 
No Virtual link-local address(es): 
Global unicast address(es): 

2007:CCCC::1, subnet is 2007:CCCC::/64 
Joined group address(es): 

FF02::1 

FF02::1:FF00:1 

FF02::1:FFC9:1701 
MTU is 1500 bytes 
ICMP error messages limited to one every 100 milliseconds 
ICMP redirects are enabled 
ICMP unreachables are sent 
ND DAD is enabled, number of DAD attempts: 1 
ND reachable time is 30000 milliseconds 
Hosts use stateless autoconfig for addresses. 

Vlanl is administratively down, line protocol is down 

Internet protocol processing disabled 


在 pcl 上 配置 IPv6 地 址 2005: CCCC::2/64， 在 pc2 上 配置 IPv6 地 址 2004: CCCC::2/64， 然 
后 在 pcl 上 通过 ping 命令 测试 与 pc2 的 连通 性 ， 结 果 如 下 。 


| Ew 医 


Ci:\>ping 2005: CCCC::2 
Pinging 2005: CCCC::2 with 32 bytes of data: 
Reply from 2005: CCCC::2: bytes=32 time=109ms TTL=126 
Reply from 2005: CCCC::2: bytes=32 time=78ms TTL=126 
Reply from 2005: CCCC::2: bytes=32 time=94ms TTL=126 
Reply from 2005: CCCC::2: bytes=32 time=94ms TIL=126 
Ping statistics for 2005: CCCC::2: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli-seconds: 
Minimum = 78ms, Maximum = 109ms, Average = 93ms 


8.4 配置 路 由 协议 


本 节 主 要 讲述 对 路 由 协议 的 配置 。 卫 路 由 选择 协议 用 有 效 的 、 无 循环 的 路 由 信息 填充 路 由 
表 ， 从 而 为 数据 包 在 网 络 之 间 传 递 提供 了 可 靠 的 路 径 信息 。 路 由 选择 协议 又 分 为 距离 矢量 、 
路 状态 和 平衡 混合 三 种 。 

距离 矢量 (Distance Vector) 路 由 协议 计算 网 络 中 所 有 链 路 的 矢量 和 距离 并 以 此 为 依据 确 
认 最 佳 路 径 。 使 用 距离 矢量 路 由 协议 的 路 由 器 定期 向 其 相 邻 的 路 由 器 发 送 全 部 或 部 分 路 由 表 。 
典型 的 距离 矢量 路 由 协议 有 RIP 和 IGRP。 

链 路 状态 (Link State) 路 由 协议 使 用 为 每 个 路 由 器 创建 的 拓扑 数据 库 来 创建 路 由 表 ， 每 个 
路 由 器 通过 此 数据 库 建 立 一 个 整个 网 络 的 拓扑 图 。 在 拓扑 图 的 基础 上 通过 相应 的 路 由 算法 计算 
出 通 往 各 目标 网 段 的 最 佳 路 径 ， 并 最 终 形成 路 由 表 。 典 型 的 链 路 状态 路 由 协议 是 OSPE (Open 
Shortest Path First， 开 放 最 短路 径 优先 ) 路 由 协议 。 

平衡 混合 〈Balanced Hybrid) 路 由 协议 结合 了 链 路 状态 和 距离 矢量 两 种 协议 的 优点 ， 此 类 
协议 的 代表 是 EIGRP， 即 增强 型 内 部 网 关 协议 。 

下 面 将 分 别 讨论 如 何在 路 由 器 中 配置 这 些 动态 路 由 协议 。 


8.4.1 配置 RIP 协议 


RIP〈 路 由 选择 信息 协议 ) 是 距离 矢量 路 由 选择 协议 的 一 种 。 路 由 器 收集 所 有 可 到 达 目 的 
地 的 不 同 路 径 ， 并 且 保 存 有 关 到 达 每 个 目的 地 的 最 少 站 点 数 的 路 径 信息 ， 除 到 达 目 的 地 的 最 佳 
路 径 外 ， 任 何其 他 信息 均 予 以 丢弃 。 同 时 ， 路 由 器 也 把 所 收集 的 路 由 信息 用 RIP 协议 通知 相 邻 
的 其 他 路 由 器 。 这 样 ， 正 确 的 路 由 信息 逐渐 扩散 到 了 全 网 。 

RIP 使 用 非常 广泛 ， 它 简单 、 可 靠 ， 便 于 配置 。RIP 版 本 2 还 支持 无 类 域 间 路 由 (Classless 
Inter-Domain Routing，CIDR) 和 可 变 长 子 网 掩 码 (Variable Length Subnetwork Mask，VLSMD) 


四 :2: | 


及 不 连续 的 子 网 ， 并 且 使 用 组 播 地 址 发 送 路 由 信息 。 但 是 ，RIP 只 适用 于 小 型 的 同 构 网 络 ， 因 
为 它 允 许 的 最 大 跳 数 为 15, 任何 超过 15 个 站 点 的 目的 地 均 被 标记 为 不 可 达 。RIP 每 喇 30s 广播 
一 次 路 由 信息 。 

相关 的 命令 如 表 8-3 所 示 。 


人 能 
show ip route | 查看 路 由 表 信 息 


router rip | 指定 使 用 RIP 协议 


version {1|2} | 指定 RIP 版 本 show ip route rip | 查看 RIP 协议 路 由 信息 
network mehvwor ”| 指定 与 该 路 由 器 相连 的 网 络 


假设 有 图 8-23 所 示 的 网 络 拓扑 结构 ， 试 通过 配置 RIP 协议 使 全 网 连通 。 在 配置 之 前 先 按 
照 拓 扑 结构 连接 好 网 络 设备 ， 其 中 串口 之 间 需 要 用 DIE (数据 终端 设备 ) 和 DCE (数据 通信 设 


备 ) 电缆 对 接 ， 或 者 用 DCE 转 DTE 电线 连接 。 


192.168.1.0/24 


图 中 各 接口 证 地 址 分 配 如 下 。 
R1: E0 192.168.1.1 
R1: S0 192.168.65.1 
R1: S1 192.168.67.1 


R2: E0 192.168.3.1 
R2: S0 192.168.65.2 
R2: S1 192.168.69.1 


R3: E0 192.168.5.1 
R3: S0 192.168.69.2 
R3: S1 192.168.67.2 


192.168.3.0/24 192.168.5.0/24 


图 8-23 RIP 协议 配置 拓扑 图 
首先 根据 图 中 要 求 配置 各 路 由 器 的 各 接口 地 址 。 


Rl#config t 

R]1 (config)#no logging console 

R1 (config)#interface fastethernet0/1 

R1 (config-if)#ip address 192.168.1.1 255.255.255.0 
R1 (config-ify#no shutdown 

R1 (config-if)#exit 

R1 (config)#interface serial 0 

R1 (config-if)#ip address 192.168.65.1 255.255.255.0 
R1 (config-ify#no shutdown 


2 


报警 
可 以 
命令 


只 有 
器 的 


允许 
式 ， 


R1 (config-if#exit 

R1 (config)#interface serial 1 

R1 (config-if)#ip address 192.168.67.1 255.255.255.0 
R1 (config-if}j#no shutdown 


在 全 局 配置 模式 下 使 用 no logging console 配置 命令 , 可 以 防止 大 量 的 端口 状态 变化 信息 和 
信息 对 配置 过 程 的 影响 。 为 了 查 明 串 行 接口 所 连接 的 电缆 类 型 ， 从 而 正确 配置 串 行 接口 ， 
使 用 show controllers serial 命令 来 查看 相应 的 控制 器 。 注 意 , 在 配置 端口 时 使 用 no shutdown 
因为 默认 情况 下 各 物理 接口 是 处 于 关闭 状态 ， 配 置 完成 需要 对 端口 进行 激活 。 

类 似 配 置 Rl 各 接口 地 址 的 方法 可 以 配置 好 路 由 器 R2 和 R3 的 各 接口 地 址 。 此 时 路 由 表 中 
和 路 由 器 直接 相连 的 各 网 段 的 路 由 信息 , 即 每 个 路 由 器 只 可 以 ping 通 和 它 直接 相连 的 路 由 
接口 。 此 时 可 以 用 show ip route 命令 查看 路 由 表 信息 。 


Rl#show ip route 

Codes: C — connected, S — static, I — IGRP R— RIP M — mobile, B — BGP 
D— EIGRP., EX — EIGRP external, O — OSPF, IA — OSPF inter area 
N1 ~ OSPF NSSA external type 1, N2 — OSPF NSSA extemal type 2 
El — OSPE extemal type 1, E2 — OSPF external type 2, E — EGP 
I—IS-IS, Ll —IS-IS level-1, L2 — IS-IS level-2. ia — IS-IS inter area 
* - candidate default U — per-user static route, 0 - ODR 
P— periodic downloaded static route 

Gateway of last resort is not set 

192.168.0.0/24 is subnetted, 3 subnets 

C 192.168.1.0 is directly connected, Ethernet0 

[a 192.168.65.0 is directly connected, Serial0 

[a 192.168.67.0 is directly connected, Seriall 


配置 完 接口 地 址 后 就 可 以 进行 RIP 协议 配置 ， RIP 协议 配置 非常 简单 。 首 先 使 用 ip routing 
路 由 选择 协议 , 在 有 些 路 由 器 上 默认 情况 是 关闭 的 。 用 router rip 命令 进入 RIP 协议 配置 模 
然后 使 用 network 语句 声明 进入 RIP 进程 的 网 络 就 可 以 了 。 

配置 路 由 器 Rl。 


R1 (config)#ip routing 

RI1 (config)#router rip (进入 RIP 协议 配置 子 模式 ) 
R1 (config-router)#network 192.168.1.0 (声明 网 络 192.168.1.0/24) 
R1 (config-router)#network 192.168.65.0 

R1 (config-router)#network 192.168.67.0 

R1 (config-router)#version 2 (设置 RIP 协议 版 本 2) 

R1 (config-router)#exit 


i Ee 


配置 路 由 器 R2。 


R1 (config)#ip routing 

RI1 (config)#router rip (进入 RIP 协议 配置 子 模式 ) 
R1 (config-router)#network 192.168.3.0 (声明 网 络 192.168.3.0/24) 
R1 (config-router)#network 192.168.65.0 

R1 (config-router)#network 192.168.69.0 


R1 (config-router)#version 2 (设置 RIP 协议 版 本 2) 

R1 (config-router)#exit 

配置 路 由 器 R3。 

R1l (config)#ip routing 

R1 (config)#router rip (进入 RIP 协议 配置 子 模式 ) 
R1 (config-router)#network 192.168.5.0 (声明 网 络 192.168.5.0/24) 


R]1 (config-router)#network 192.168.67.0 

R1 (config-router)#network 192.168.69.0 

R1 (config-router)#version 2 (设置 RIP 协议 版 本 2) 
R]1 (config-router)#exit 


配置 完 RIP 协议 后 ，RIP 协议 的 路 由 器 广播 自己 的 路 由 信息 到 周边 路 由 器 ， 此 时 各 路 由 器 
就 可 以 学 习 到 其 他 路 由 器 的 路 由 信息 。 此 时 再 查看 路 由 信息 则 有 所 不 同 ， 下 面 来 查看 R3 上 的 


R3#show ip route 

Codes: C — connected, S — static, I— IGRP, R— RIP M — mobile, B — BGP 
D— EIGRP, EX — EIGRP external, O — OSPF, IA — OSPF inter area 
N1 ~ OSPF NSSA external type 1, N2 — OSPF NSSA extemal type 2 
El — OSPE extemal type 1, E2 — OSPF external type 2, E — EGP 
I—IS-IS, Ll —IS-IS level-1, L2 — IS-IS level-2. ia — IS-IS inter area 
* - candidate default U — per-user static route, o - ODR 
P— periodic downloaded static route 

Gateway of last resort is not set 

192.168.0.0/24 is subnetted, 6 subnets 


C 192.168.1.0 is directly connected, Ethernet0 

- 192.168.65.0 is directly connected, Serial0 

Ee 192.168.67.0 is directly connected, Seriall 

R 192.168.65.0 [120/1] via 192.168.67.1, 00:00:15, Serial 
[120/1] via 192.168.69.1, 00:00:24, Seria0 

及 192.168.1.0 [120/1] via 192.168.67.1, 00:00:15, Serial 
及 192.168.3.0 [120/1] via 192.168.69.1, 00:00:24, Seria0 


i 


路 由 表 中 的 项 目 解释 如 下 。 


及 192.168.3.0 [120/1] via 192.168.69.1, 00:00:24, Seria0 


。 有 R: 表示 此 项 路 由 是 由 RIP 协议 获取 的 ， 另 外 C 代表 直接 相连 的 网 段 。 

。 ”192.168.3.0: 表示 目标 网 段 。 

。 [120/1]: 120 表示 RIP 协议 的 管理 距离 默认 为 120，1 是 该 路 由 的 度量 值 ， 即 跳 数 。 
e via: 经 由 的 意思 。 

。 ”192.168.69.1: 表示 从 当前 路 由 器 出 发 到 达 目 标 网 的 下 一 跳 点 的 他 地 址 。 

® 00:00:24: 表示 该 条 路 由 产生 的 时 间 。 

。 ”Seria0: 表示 该 条 路 由 使 用 的 接口 。 

从 路 由 表 中 可 以 看 出 多 了 三 条 RIP 路 由 信息 ， 这 三 条 路 由 信息 分 别 可 以 访问 到 网 络 


192.168.65.0/24、192.168.1.0/24 和 192.168.3.0/24， 其 中 访问 到 192.168.65.0/24 的 路 由 有 两 条 。 
之 所 以 保存 两 条 路 由 信息 ， 是 因为 到 达 目 的 网 段 需要 经 过 的 跳 数 相同 ， 都 为 1。 而 访问 另外 两 
个 网 段 也 可 以 经 过 另外 两 个 路 由 器 来 转发 ， 但 是 因为 那样 要 经 过 两 跳 ， 而 RIP 协议 是 选择 跳 数 
作为 唯一 度量 路 由 选择 的 标准 ， 所 以 它 只 将 跳 数 最 少 的 路 径 保留 在 路 由 表 中 ， 而 其 余 的 路 径 都 
被 放弃 。 


另外 ， 因 为 RIP 版 本 2 支持 不 连续 子 网 和 可 变 长 子 网 掩 码 ， 所 以 各 网 段 的 他 地 址 可 以 是 


任何 形式 的 合法 卫 。 通 过 以 上 对 各 路 由 器 配置 RIP 协议 可 以 达到 全 网 连通 的 目的 。 
8.4.2 配置 IGRP 协议 


议 


内 部 网 关 路 由 协议 (Interior Gateway Routing Protocol，IGRP) 是 一 种 动态 距离 向 量 路 由 协 


， 它 是 Cisco 公司 20 世纪 80 年 代 中 期 设计 的 。 使 用 组 合用 户 配 置 尺 度 ， 包 括 延 迟 、 带 宽 、 


可 靠 性 和 负载 。 它 能 够 变通 地 处 理 不 确定 的 、 复 杂 的 拓扑 结构 , 不 支持 VLSM 和 不 连续 的 子 网 。 


默认 情况 下 ，IGRP 每 90s 发 送 一 次 路 由 更 新 广播 ， 在 3 个 更 新 周期 内 〈 即 270s) 没有 从 


路 由 表 中 的 一 个 路 由 器 接收 到 更 新 ， 则 宣布 路 由 不 可 访问 。 在 7 个 更 新 周期 即 630s 后 ，IOS 软 
件 从 路 由 表 中 清除 路 由 。 
相关 命令 如 表 8-4 所 示 。 
表 8-4 IGRP 相关 命令 
命 令 功 能 

Touter igrp autonomous-system 指定 使 用 IGRP 协议 

Detwork network 指定 与 该 路 由 器 相连 的 网 络 

show ip route 查看 路 由 表 信 息 


查看 IGRP 协议 路 由 信息 


show ip route lgmp 


je 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


ip address 192.168.5.1 255.255.255.0 
Do keepalive 
! 
interface Serial0 
ip address 192.168.69.2 255.255.0.0 
bankwidth 500 
! 
interface Seriall 
ip address 192.168.67.2 255.255.0.0 
bankwidth 64 
! 
router igrp 100 
network 192.168.5.0 
network 192.168.69.0 
network 192.168.67.0 
! 


这 里 需要 指出 的 是 ， 以 太 网 接口 中 的 no keepalive 能 使 此 接口 不 监测 keepalive (存活 ) 信 
号 ， 从 而 在 不 连接 任何 设备 的 情况 下 可 以 激活 此 接口 。 这 样 只 是 为 我 们 配置 和 监测 路 由 协议 而 
设 , 在 实际 网 络 环境 中 是 不 应 该 使 用 该 命令 的 。 使 用 router igm 100 创建 IGRP 路 由 进程 ， 后面 
的 100 是 自治 系统 号 。 三 个 路 由 器 的 自治 系统 号 必须 相同 ， 耕 则 彼此 的 路 由 信息 将 不 被 互相 传 
递 和 学 习 。 

配置 工作 完成 后 可 以 分 别 查看 三 个 路 由 器 的 路 由 表 , 看 看 和 RIP 协议 配置 完成 所 产生 的 路 
由 表 有 何 区 别 。 


Rl#show ip route igrp 

192.168.0.0/24 is subnetted, 6 subnets 
| 192.168.69.0 [100/160250] via 192.168.67.2, 00:00:15, Serial 
[100/160250] via 192.168.65.2., 00:00:24., Seria0 
E 192.168.3.0 [100/22100] via 192.168.65.2, 00:00:15, Seria0 
[| 192.168.5.0 [100/22100] via 192.168.67.2, 00:00:15, Serial 
R2#show ip route igrp 

192.168.0.0/24 is subnetted, 6 subnets 
I 192.168.67.0 [100/24000] via 192.168.65.1. 00:00:21, Seria0 
I 192.168.1.0 [100/22100] via 192.168.65.1, 00:00:21, Seria0 
玫 192.168.5.0 [100/24100] via 192.168.65.1, 00:00:21, Seria0 
R3#show ip route igrp 


四 :2 医 


192.168.0.0/24 is subnetted, 6 subnets 


I 192.168.65.0 [100/24000] via 192.168.67.1, 00:00:21, Serial 
| 192.168.1.0 [100/22100] via 192.168.67.1, 00:00:21, Serial 
| 192.168.3.0 [100/24100] via 192.168.67.1, 00:00:21, Serial 


从 路 由 表 可 以 看 出 ，R2 访问 R3 和 R3 访问 R2 的 路 由 都 要 经 过 路 由 器 R1 转发 ， 这 是 因为 
IGRP 协议 计算 度量 值 时 是 考虑 网 络 带宽 的 ， 它 根据 所 计算 出 的 度量 值 ， 选 择 度 量 值 最 小 的 路 
径 保 留 在 路 由 表 中 ， 其 中 100 是 IGRP 协议 的 管理 距离 。 


8.4.3 配置 OSPF 协议 


开放 最 短路 径 优先 协议 是 重要 的 路 由 选择 协议 。 它 是 一 种 链 路 状态 路 由 选择 协议 ， 是 由 
Internet 工程 任务 组 开发 的 内 部 网 关 路 由 协议 ， 用 于 在 单一 自治 系统 内 决策 路 由 。 

链 路 是 路 由 器 接口 的 另 一 种 说 法 ， 因 此 OSPF 也 称 为 接口 状态 路 由 协议 。OSPF 通过 路 由 
器 之 间 通 告 网 络 接口 的 状态 来 建立 链 路 状态 数据 库 ， 生 成 最 短路 径 树 ， 每 个 OSPF 路 由 器 使 用 
这 些 最 短路 径 构造 路 由 表 。 下 面 分 别 介绍 OSPF 协议 的 相关 要 点 。 

(1) 自治 系统 。 自 治 系统 包括 一 个 单独 管理 实体 下 所 控制 的 一 组 路 由 器 ，OSPF 是 内 部 网 
关 路 由 协议 ， 工 作 于 自治 系统 内 部 。 

(2) 链 路 状态 。 所 谓 链 路 状态 ， 是 指 路 由 器 接口 的 状态 ， 如 Up、Down、 卫 地 址 、 网 络 类 
型 以 及 路 由 器 和 它 邻 接 路 由 器 间 的 关系 。 链 路 状态 信息 通过 链 路 状态 通告 (Link State 
Advertisement，LSA) 扩散 到 网 上 每 台 路 由 器 ， 每 台 路 由 器 根据 LSA 信息 建立 一 个 关于 网 络 的 
拓扑 数据 库 。 

(3) 最 短路 径 优先 算法 。OSPF 协议 使 用 最 短路 径 优先 算法 ， 利 用 从 LSA 通告 得 来 的 信息 
计算 每 一 个 目标 网 络 的 最 短路 径 ， 以 自身 为 根 生成 一 棵 树 ， 包 含 了 到 达 每 个 目的 网 络 的 完整 
路 径 。 

(4) 路 由 标识 。OSPF 的 路 由 标识 是 一 个 32 位 的 数字 ， 它 在 自治 系统 中 被 用 来 唯一 识别 路 
由 器 。 默 认 地 使 用 最 高 回 送 地 址 ， 若 回 送 地 址 没有 被 配置 ， 则 使 用 物理 接口 上 最 高 的 卫 地 址 作 
为 路 由 器 标识 。 

(5) 邻居 和 邻接 。OSPF 在 相 邻 路 由 器 间 建 立 邻 接 关 系 ， 使 它们 交换 路 由 信息 。 邻 居 是 指 
共享 同一 网 络 的 路 由 器 ， 并 使 用 Hello 包 来 建立 和 维护 邻居 路 由 器 间 的 关系 。 

(6) 区 域 。 在 OSPF 网 络 中 使 用 区 域 (Area) 来 为 自治 系统 分 段 。OSPF 是 一 种 层次 化 的 
路 由 选择 协议 ， 区 域 0 是 一 个 OSPF 网 络 中 必须 具有 的 区 域 ， 也 称 为 主干 区 域 ， 其 他 所 有 区 域 
要 求 通过 区 域 0 互 连 到 一 起 。 

相关 命令 及 说 明 如 表 8-5 所 示 。 


ea 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


Rl#show running-config 
! 
interface Serial0 
ip address 192.200.10.1 255.255.255.252 
! 
interface Ethernet0 
ip address 10.20.10.1 255.255.255.255 
! 


router eigrp 200 
network 192.200.10.0 0.0.0.3 
network 10.20.10.0 0.0.0.255 


Do auto-summary 
! 


R2#show running-config 
! 


interface Serial0 


ip address 192.200.10.2 255.255.255.252 
! 


interface Ethernet0 
ip address 201.10.10.1 255.255.255.255 
! 


router eigrp 200 

network 192.200.10.0 0.0.0.3 
network 201.10.10.0 

no auto-summary 


! 
配置 完成 后 可 以 使 用 debug 命令 和 show 命令 来 调试 和 检查 配置 结果 ， 查 看 路 由 信息 是 否 
已 经 学 习 到 ， 查 看 和 调试 方法 和 其 他 协议 类 似 ， 这 里 不 再 重复 。 


8.5 配置 广域网 接 入 


要 将 网 络 与 其 他 远程 网 络 连 接 起 来 ， 有 时 就 要 用 到 广域网 CWAN) 接 入 服务 。WAN 提供 
了 与 LAN 不 同 的 连接 方法 和 布线 标准 。 广 域 网 中 路 由 器 和 交换 机 连接 方式 多 样 化 ， 主 要 有 串 
行 连接 、ISDN BRI 连接 和 DSL 连接 等 。 本 节 结 合 具体 接 入 实例 来 学 习 广域网 接 入 的 配置 方法 
和 技巧 。 


8.5.1 配置 ISDN 


综合 业务 数字 网 (Integrated Service Digital Network，ISDN) 是 电话 网 络 数字 化 的 结果 ， 


| :5 | 


由 数字 电话 和 数据 传输 服务 两 部 分 组 成 。 可 以 在 ISDN 上 传输 声音 、 数 据 和 视频 等 多 种 信息 。 
ISDN 组 件 包 括 终 端 、 终 端 适配器 、 网 络 终端 设备 、 线 路 终端 设备 和 交换 终端 设备 等 。 

ISDN 提供 两 种 类 型 的 访问 接口 ， 即 基本 速率 接口 (Basic Rate Interface，BRI) 和 主要 速 
率 接口 (Primary Rate Interface, PRI)。 ISDN BRI 提供 两 个 B 信道 和 一 个 D 信道 (2B+D)。 ISDN 
的 B 信道 为 承载 信道 ， 其 速率 为 64Kbps， 用 于 传输 用 户 数据 ; D 信道 速率 为 16Kbps， 主 要 用 
于 传输 控制 信息 。PRI 提供 30 个 B 信道 和 1 个 DD 信道 (30B+D)， 其 B 信道 和 DD 信道 的 速率 
均 为 64Kbps。 

下 面 通过 一 个 具体 的 实例 来 学 习 两 台 路 由 器 通过 ISDN 线路 进行 连接 时 的 最 基本 配置 。 
图 8-27 所 示 路 由 器 Rl1 和 R2 各 连接 1 条 ISDN BRI 线路 ， 路 由 器 的 BRI 接口 通过 NT1 连接 到 
ISDN 上 。 各 路 由 器 BRI 接口 的 他 地 址 和 所 连接 的 ISDN 号 如 图 中 所 标 。 通 过 对 两 路 由 器 的 配 
置 达到 R1 和 R2 互通 的 目的 。 


BRIO BRI0 
IP: 192.168.1.1/24 IP: 192.168.1.2/24 


ISDN: 80000001 ISDN: 80000001 
< a 


YY R2 


ISDN 


图 8-27 配置 实例 
相关 命令 及 说 明 如 表 8-6 所 示 。 


表 8-6 ISDN 相关 配置 命令 


命 令 功 能 
isdn switch-type switch-type! 设置 ISDN 交换 类 型 
interface bri 0 接口 BRI 设置 
encapsulation ppp 设置 PPP 封装 
aler wap protocol next-hop-address [name hostname] [broadcast] 设置 协议 地 址 与 电话 号 码 的 映射 
[dial-string] 
ppp multilink 启动 PPP 多 连接 


dialer load-threshold load 
show isdn {active | history | memory | services | status [dsl | 
interface-type number] | timers} 

注 : 交换 机 类 型 switch-type 可 以 用 命令 isdn switch-type ? 查 得 。 


连接 好 线路 之 后 ， 就 可 以 进行 配置 工作 。 


设置 启动 男 一 个 B 通道 的 阔 值 
显示 ISDN 有 关 信 息 


| 本 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


R2(config-if)#dialer string 80000001 (设置 拨号 串 ，R1 的 ISDN 号 码 ) 


R2(config-if}#dialer-group 1 (设置 拨号 组 号 为 1， 把 BRI 0 接口 与 拨 
号 列表 1 相关 联 ) 

R2(config-if}#no shutdown (激活 接口 ) 

R2(config-if}#exit 

R2(config)#dialer-list 1 protocol ip permit (设置 拨号 列表 1) 

R2(config)#end 

R2# 


配置 完成 后 , 可 以 使 用 debug 和 ping 命令 来 调试 配置 结果 。 其 中 阴影 部 分 表示 了 拨号 的 过 
程 。Ping 命令 引发 多 次 拨号 行为 ， 最 后 报告 BRI0 : 1 接口 的 线路 协议 已 经 激活 。 


Rl(config)#logging console (在 终端 上 显示 监测 信息 ) 
Rl(config)#exit 

Rl#debug dialer (监测 dialer 信息 ) 

Dial on demand events debugging is on 

Rl#ping 192.168.1.2 

Type escape sequence to abort 

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds: 


02:11:13: BRO DDR: Dialing cause ip(s=192.168.1.1, d=192.168.1.2) 
02:11:13: BRO DDR: Attempting to dial 80000002 
02:11:15: %LINK-3-UPDOWN: Interface BRIO:1, changed state to up 
02:11:15: %ISDN-6-CONNECT: Interface BRI0:1, is now connected to 80000002 
On 
Success rate is 60 percent(3/5), round-trip min/avg/max = 36/38/40 ms 
02:11:17: BRO:1 DDR: dialer protocol up 
02:11:18: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state to up 
Rl#undebug all (关闭 所 有 调试 信息 》 


还 可 以 用 show isdn status 命令 查看 ISDN 状态 , 用 show dialer 命令 显示 当前 的 拨号 及 其 配 
置 等 信息 ， 这 里 不 再 一 一 列 出 。 


8.5.2 配置 PPP 和 DDR 


点 对 点 协议 是 作为 在 点 对 点 链 路 上 进行 PP 通信 的 封装 协议 而 被 开发 出 来 的 。PPP 定义 了 
卫 地 址 的 分 配 和 管理 、 异 步 和 面向 位 的 同步 封装 、 网 络 协议 复 用 、 链 路 配置 、 链 路 质量 测试 和 
错误 检测 等 标准 ， 以 及 网 络 层 地 址 协议 和 数据 压缩 协议 等 协议 标准 。PPP 通过 可 扩展 的 链 路 协 
议和 网 络 控制 协议 (NCP) 来 实现 上 述 功能 。 


esa 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


(4) 设置 多 链 路 。 使 用 dialer load-threshold 命令 来 配合 ppp multilink， 设 置 数值 为 128， 告 
诉 路 由 器 在 负载 达到 第 1 个 B 信道 带宽 的 50% 以 上 时 启用 第 2 个 B 信道 。 这 个 数值 N 的 取 值 
范围 是 0 一 2355， 表 示 当 实际 负载 占 到 第 一 个 了 B 信道 的 W2559% 时 启动 第 2 个 B 信道 。 当 设置 为 
1 时 ， 表 示 不 论 负载 多 大 同时 启动 两 个 B 信道 。 

dialer load-threshold 128 

ppp mnultilink 


(5) no cdp enable 表示 禁止 通过 此 接口 传递 CDP 控制 数据 ， 通 常 在 拨号 线路 上 要 禁 
用 CDP。 
(6) ppp authentication chap 表示 设置 PPP 认证 方式 为 CHAP。 


8.5.3 ”配置 帧 中 继 


帧 中 继 是 一 种 高 性 能 的 WAN 协议 ,运行 在 OSI 参考 模型 的 物理 层 和 数据 链 路 层 。 它 是 一 
种 数据 包 交 换 技术 ， 是 X.25 的 简化 版 本 。 它 省 略 了 X.25 的 一 些 强健 功能 ， 如 提供 窗口 技术 和 
数据 重 发 技术 ， 而 是 依靠 高 层 协议 提供 纠 错 功能 ， 这 是 因为 帧 中 继 工 作 在 更 好 的 WAN 设备 上 ， 
这 些 设备 较 之 X.25 的 WAN 设备 具有 更 可 靠 的 连接 服务 和 更 高 的 可 靠 性 ， 它 严格 地 对 应 于 OSI 
参考 模型 的 最 低 两 层 ， 而 X.25 还 提供 第 三 层 的 服务 ， 所 以 帧 中 继 比 X.25 具有 更 高 的 性 能 和 更 
有 效 的 传输 效率 。 

帧 中 继 广 域 网 的 设备 分 为 DTE 和 DCE， 路 由 器 作为 DTE 设备 。 

帧 中 继 技 术 提供 面向 连接 的 数据 链 路 层 通信 ， 在 每 对 设备 之 间 都 存在 一 条 定义 好 的 通信 和 链 
路 ， 且 该 链 路 有 一 个 链 路 识别 码 。 这 种 服务 通过 帧 中 继 虚 电路 实现 ， 每 个 帧 中 继 虚 电路 都 以 数 
据 链 路 识别 码 (DLCD 标识 自己 。 DLCI 的 值 一 般 由 由 中 继 服务 提供 商 指定 。 帧 中 继 即 支持 PVC 
也 支持 SVC。 

相关 命令 及 说 明 如 表 8-8 所 示 。 


表 8-8 ” 帧 中 继 相关 配置 命令 


命 令 功 能 
encapsulation frame-relay[ietf] 设置 Frame Relay 封装 
frame-relay lmi-type {ansi | cisco | q933a} 设置 Frame Relay LMI 类 型 
leriace: nterfiec type interface-number subinterface- number 设置 子 接口 
[multipointlpoint-to-point] 
frame-relay map protocol protocol-address dlci [broadcast] 映射 协议 地 址 与 DLCI 


frame-relay interface-dlci dlci [broadcast] 设置 FR DLCI 编 号 


2 | 


1. 配置 帧 中 继 交 换 机 


帧 中 继 的 配置 需要 一 个 帧 中 继 的 环境 ， 而 现在 普通 的 路 由 器 就 可 以 配置 成 一 个 帧 中 继 交 换 
机 。 假 设 有 一 个 具有 三 个 串 行 接口 的 路 由 器 ， 通 过 下 面 的 配置 来 实现 全 网 状 的 帧 中 继 环境 。 所 
谓 全 网 状 的 帧 中 继 环 境 ， 是 指 在 这 个 帧 中 继 环 境 中 任何 两 个 节点 间 都 存在 一 条 虚 电 路 。 参 考 图 
8-29 连接 网 络 设备 ， 图 中 是 构造 一 个 有 三 个 节点 的 全 网 状 帧 中 继 环境 ， 每 个 接口 上 的 DLCI 都 
标明 在 图 上 ， 虚 线 箭头 表示 两 节点 间 的 虚 电 路 。 下 面 给 出 路 由 器 的 配置 清单 。 


Router#show run 

1 

interface seriall 
Do ip address 


DLCI301 

ss DLCI303 

DLCI201 

DLCI203 
S2 


图 8-29 全 网 状 帧 中 继 环境 示意 图 


encapsulation frame-relay 


clockrate 64000 


frame-relay lmi-type cisco 

frame-relay lmi-type dce 

frame-relay route 102 interface Serial2 201 
frame-relay route 103 interface Serial3 301 


! 
interface serial2 
Do ip address 


encapsulation frame-relay 


clockrate 64000 


frame-relay lmi-type cisco 
frame-relay lmi-type dce 
frame-relay route 201 interface Seriall 102 


四 4 医 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


Rl(config)#interface s0 

R1(config-if)#ip address 192.168.1.1 255.255.255.0 

Rl(config-if}#encap frame-relay (该 接口 使 用 帧 中 继 封装 格式 ) 
Rl(config-if}#no shutdown 

Rl(config-if}#no frame-relay inverse-arp (关闭 帧 中 继 逆 向 ARP) 
Rl(config-if}#frame map ip 192.168.1.2 cisco 

Rl(config-if}#end 

及 ]# 


路 由 器 R2: 


R2#config t 

Enter configuration command, one per line. End with CNTL/Z. 

R2(config)#interface EO 

R2(config-if}#ip address 192.1.2.1 255.255.255.0 

R2(config-if}#no keepalive 

R2(config-if}#no shutdown 

R2(config-if}#exit 

R2(config)#interface s0 

R2(config-if}#ip address 192.168.1.2 255.255.255.0 

R2(config-if)#encap frame-relay (该 接口 使 用 帧 中 继 封装 格式 ) 
R2(config-if}#no shutdown 

R2(config-if)#no frame-relay inverse-arp (关闭 帧 中 继 逆 向 ARP) 
R2(config-if}#frame map ip 192.168.1.1 cisco 

R2(config-if}#end 

RI1# 


配置 中 关闭 帧 中 继 逆向 ARP 是 因为 使 用 了 全 网 状 拓扑 ， 关 闭 逆向 ARP 是 为 了 避免 多 个 


DLCI 之 间 的 映射 混乱 。 如 果 在 S0 上 只 有 一 个 DLCI， 则 不 需要 该 设置 。 


配置 完成 后 可 以 用 下 面 的 命令 查看 帧 中 继 相 关 信息 ， 查 看 结果 不 再 列 出 。 


show frame pve 
show frame map 
show frame traffic 
show frame lmi 


(2) 配置 静态 路 由 并 测试 连通 性 。 配 置 静态 路 由 的 方法 在 前 面 已 经 学 习 过 了 ， 配 置 完 两 个 


四 Zs | 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


(1) 用 access-list 命令 配置 加 密 用 访问 控制 列表 。 
例如 : 


access-list acl-name {permitldeny} protocol src_addr src_ mask [operator port [port]] dest_addr dest_mask 
[operator prot [port]] 


(2) 用 crypto ipsec transform-set 命令 配置 变换 集 。 
例如 : 


crypto ipsec transform-set transform-set-name transforml [transform2 [transform3]] 


(3) ( 任 选 ) 用 crypto ipsec security-association lifetime 命令 配置 全 局 性 的 IPSec 安全 关联 
的 生存 期 。 

(4) 用 crypto map 命令 配置 加 密 图 。 

(5) 用 interface 命令 和 crypto map map-name interface 把 配置 应 用 到 接口 上 。 

(6) 用 各 种 可 用 的 show 命令 验证 IPSec 的 配置 。 


4. 测试 和 验证 IPSec 


该 任务 涉及 到 使 用 show、debug 和 相关 的 命令 来 测试 和 验证 IPSec 加 密 工 作 是 否 正 常 ， 并 
为 之 排除 故障 。 


8.6.2 ”Cisco 配置 举例 


某 公司 由 总 部 和 分 支 机 构 构 成 ， 通 过 IPSec 实现 网 络 安全 ， 具 体 网 络 拓扑 结构 和 主 路 由 器 
及 分 支 路 由 器 上 的 配置 如 下 。 


1. 网 络 拓扑 
网 络 结构 如 图 8-31 所 示 。 


168.1.1.0 


上- E 
172.22.1.100 总 部 168.1.1.1 分 支 机 构 172.22.2.100 
路 由 器 路 由 器 


总 分 支 机 构 局 域 网 
172.22.1.0/24 172.22.2.0/24 


图 8-31 网 络 结构 图 


ee 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


Do ip directed-broadcast 
crypto map VPNdemo ; 应 用 VPNdemo 于 串口 


1 

interface Ethernet0/1 

ip address 168.1.1.1 255.255.255.0 ; 外 部 端口 下 地 址 

Do ip directed-broadcast 

interface Ethernet0/0 

ip address 172.22.1.100 255.255.255.0”; 内 部 端口 瑟 地 址 

Do ip directed-broadcast 

1 

ip classless 

ip route 0.0.0.0 0.0.0.0 202.96.1.2 ; 默认 路 由 

ip route 172.22.2.0 255.255.0.0 192.168.1.2 ”; 到 内 网 的 静态 路 由 (经 过 隧道 ) 
access-list 101 permit gre host 202.96.1.1 host 202.96.1.2 ; 定义 存 取 列表 


分 支 机 构 端 路 由 器 部 分 配置 : 

crypto isakmp policy 1 

authentication pre-share 

group 2 

crypto isakmp key test123 address 202.96.1.1 

crypto ipsec transform-set VPNtag ah-md5-hmac esp-des 


! 

crypto map VPNdemo 10 ipsec-isakmp 
set peer 202.96.1.1 

set transform-set VPNtag 

match address 101 


1 

interface Tunnel0 

ip address 192.168.1.2 255.255.255.0 
Do ip directed-broadcast 

tunnel source Serial0/0 

tunnel destination 202.96.1.1 

crypto map VPNdemo 


interface Serial0/0 


| za | 


ip address 202.96.1.2 255.255.255.252 
no ip directed-broadcast 
crypto map VPNdemo 


i 

interface EthermetO/1 

ip address 167.1.1.1 255.255.255.0 

no ip directed-broadcast 

interface Ethernet0/0 

ip address 172.22.2.100 255.255.255.0 
no ip directed-broadcast 


ip classless 

ip route 0.0.0.0 0.0.0.0 202.96.1.1 

ip route 172.22.1.0 255.255.0.0 192.168.1.1 

access-list 101 permit gre host 202.96.1.2 host 202.96.1.1 


8.6.3 测试 时 常见 的 故障 


1. 故障 1 

问题 描述 : 在 了 PSec-manual 或 IPSec-isakmp 方式 下 ， 双 方 配置 好 后 或 双方 协商 通过 后 ， 双 
方 仍然 无 法 进行 通信 。 同 时 若 打开 debug crypto packet， 则 会 出 现 如 下 信息 : 

rec'd IPSEC packet from IPADDR has invalid spi 


原因 : 对 端 outbound 的 spi 值 与 本 端的 inbound 不 同 或 配置 的 策略 不 同 (esp、ah) 。 
判断 方法 和 解决 方案 : 检查 双方 的 配置 信息 , 尤其 是 在 了 Sec-manual 方式 下 检查 双方 的 SPI 
值 是 否 按 方向 〈inbound、outbound) 匹配 。 而 在 IPSec-isakmp 下 ， 则 可 能 是 协商 出 错 。 


2. 故障 2 


问题 描述 : 在 IPSec-manual 方式 下 ， 双 方 配置 好 后 ， 双 方 仍 然 无 法 进行 通信 。 同 时 若 打开 
debug crypto packet， 则 会 出 现 如 下 信息 : 


packet missing policy 


原因 : 对 端 outbound 的 配置 策略 和 本 地 不 同 Cesp、ah) 。 


i ze | 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


crypto isakmp， 则 会 出 现 如 下 信息 : 


ISAKMP(xxx): processing ISAKMP-SA payload 〈 随 后 有 若干 transform-payload 中 的 内 容 ) 
ISAKMP(xxx): no acceptable Oakley Transform 
ISAKMP(xxx): negotiate error NO_PROPOSAL CHOSEN 


原因 : 双方 配置 的 ISAKMP 策略 不 匹配 。 
判断 方法 和 解决 方案 :检查 两 端的 ISAKMP-Policy 是 否 相 同 ， 尤 其 是 对 端的 lifetime 不 能 
大 于 本 地 的 lifetime 值 。 


7. 故障 7 


问题 描述 : 在 IPSec-isakmp 方式 下 ， 双 方 配置 好 后 ， 由 对 端 开始 发 起 协商 ， 无 法 进行 通信 ， 
show crypto ipsec sa 也 没有 发 现 和 当前 通信 相关 的 成 功 的 SA 信息 。 在 协商 同时 若 打 开 debug 
crypto isakmp， 则 会 出 现 如 下 信息 : 

ISAKMP(xxx): processing IPSec-SA payload 〈 随 后 有 若干 transform-payload 中 的 内 容 ) 


ISAKMP(xxx): no acceptable Proposal in IPsec SA 
ISAKMP(xxx): negotiate error NO_PROPOSAL CHOSEN 


原因 : 双方 配置 的 IPSec 策略 不 匹配 。 

判断 方法 和 解决 方案 : 检查 两 端 相应 的 transform-set 是 否 匹 配 ， 相 应 的 sub_map 下 的 pfs 
属性 是 否 相 同 。 

8. 故障 8 

问题 描述 : 在 IPSec-isakmp 方式 下 ， 双 方 配置 好 后 ， 由 对 端 开 始 发 起 协商 ,无 法 进行 通信 ， 


show crypto ipsec sa 也 没有 发 现 和 当前 通信 相关 的 成 功 的 SA 信息 。 在 协商 同时 若 打开 debug 
crypto isakmp， 则 会 出 现 如 下 信息 : 


ISAKMP: attr accept again transform-set XXX ... 

/TSAKMP(xxx): dealing with ID-payload 〈 随 后 有 对 端 为 PSec 通信 所 配置 的 access-list 内 容 ) 
lISAKMP(xxx): ISAKMP: not found matchable policy 

原因 : 双方 配置 的 IPSec 规则 不 匹配 。 

判断 方法 和 解决 方案 : 检查 两 端 相应 的 sub map 下 的 规则 (access-list〉 是 否 匹 配 。 


9. 故障 9 


问题 描述 : 在 了 PSec-isakmp 方式 下 ， 双 方 配置 好 后 ， 由 本 端 开始 发 起 协商 ， 无 法 进行 通信 ， 


四 45o 医 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


理 、 收 发 IPv4 的 分 组 ， 也 可 以 接收 、 处 理 、 收 发 IPv6 的 分 组 。 对 于 主机 来 讲 ，“ 双 栈 ” 是 指 
其 可 以 根据 需要 来 对 业务 产生 的 数据 进行 IPv4 封装 或 者 IPv6 封装 ; 对 于 路 由 器 来 讲 ，“ 双 栈 ” 
是 指 在 一 个 路 由 器 设备 中 维护 IPv6 和 IPv4 两 套路 由 协议 栈 , 使 得 路 由 器 既 能 与 IPv4 主机 也 能 
与 IPv6 主机 通信 ， 分 别 支 持 独 立 的 IPv6 和 IPv4 路 由 协议 ，IPv4 和 IPv6 路 由 信息 按照 各 自 的 
路 由 协议 进行 计算 ,维护 不 同 的 路 由 表 。IPv6 数据 报 按照 IPv6 路 由 协议 得 到 的 路 由 表 转 发 , IPv4 
数据 报 按照 IPv4 路 由 协议 得 到 的 路 由 表 转 发 。 双 栈 策略 的 优点 是 概念 清晰 ， 易于 理解 ， 网 络 规 
划 相 对 简单 ， 同 时 在 IPv6 逻辑 网 络 中 可 以 充分 发 挥 IPv6 协议 的 所 有 优点 (如 安全 性 、 路 由 约 
束 和 流 的 支持 等 方面 )。 但 是 ， 双 栈 策 略 也 存在 如 下 缺点 : 对 网 元 设备 的 要 求 较 高 ， 要 求 其 不 
但 支持 IPv4 路 由 协议 ， 而 且 支 持 IPv6 路 由 协议 ， 这 就 要 求 其 维护 大 量 的 协议 和 数据 。 另 外 ， 
网 络 升级 改造 将 牵涉 到 网 络 中 的 所 有 网 元 设备 ， 投 资 大 、 建 设 周 期 比较 长 。 

隧道 策略 是 IPv4 / IPv6 过 渡 中 经 常 使 用 到 的 一 种 机 制 。 所谓 “隧道 ”， 简单 地 讲 就 是 利用 
一 种 协议 来 传输 另 一 种 协议 的 数据 的 技术 。 在 IPv6 发 展 初期 , 必然 有 许多 局 部 的 纯 IPv6 网 络 ， 
这 些 IPv6 网 络 被 IPv4 骨干 网 络 卫 离开 来 ， 为 了 使 这 些 孤 立 的 “IPv6 岛 ” 互 通 ， 就 采取 隧道 技 
术 的 方式 来 解决 。 利 用 穿越 现存 IPv4 因特网 的 隧道 技术 将 许多 个 “IPv6 孤岛 ”连接 起 来 ， 逐 
步 扩大 IPv6 的 实现 范围 。 隧 道 技术 的 工作 机 理 就 在 IPv6 网 络 与 IPv4 网 络 间 的 隧道 入 口 处 ， 路 
由 器 将 IPv6 的 数据 分 组 封装 入 IPv4 中 ，IPv4 分 组 的 源 地 址 和 目的 地 址 分 别 是 隧道 入 口 和 出 口 
的 IPv4 地 址 。 在 隧道 的 出 口 处 再 将 IPv6 分 组 取出 转发 给 目的 节点 。 目 前 应 用 较 多 的 隧道 技术 
包括 构造 隧道 、6to4 隧道 以 及 MPLS 隧道 等 。 目 前 的 隧道 技术 主要 实现 了 在 IPv4 数据 包 中 封 
装 IPv6 数据 包 , 随 着 IPv6 技术 的 发 展 和 广泛 应 用 , 未 来 也 将 会 出 现在 IPv4 数据 包 中 封装 IPv6 
数据 包 的 隧道 技术 。 隧 道 技术 能 够 充分 利用 现 有 的 网 络 投资 ， 因 此 在 过 渡 初期 是 一 种 方便 的 选 
择 。 但 是 ， 在 隧道 的 入 口 处 会 出 现 负 载 协议 数据 包 的 拆 分 ， 在 隧道 出 口 处 会 出 现 负载 协议 数据 
包 的 重组 。 这 就 增加 了 隧道 出 入 口 的 实现 复杂 度 ， 不 利于 大 规模 的 应 用 。 

双 栈 策略 解决 了 IPv6 与 IPv4 的 共存 问题 ， 但 是 在 网 络 的 过 渡 时 期 不 可 能 要 求 所 有 的 主机 
或 终端 都 升级 支持 双 栈 ， 在 网 络 中 必然 存在 纯 IPv4 主机 和 纯 IPv6 主机 之 间 进 行 通信 的 需求 ， 
由 于 协议 栈 的 不 同 ， 因 此 很 自然 地 需要 对 这 些 协议 进行 翻译 转换 。 对 应 协议 的 翻译 可 以 分 为 两 
个 层面 来 进行 ， 一 方面 是 IPv4 与 IPv6 协议 层 的 翻译 ， 另 一 方面 是 IPv4 应 用 与 IPv6 应 用 之 间 
的 翻译 。 前 者 主要 是 通过 NAT 一 PT 技术 实现 的 ， 后 者 则 主要 通过 应 用 代理 网 关 ALG 来 实现 。 
NAT 一 PT 实现 了 网 络 层 的 协议 翻译 ;应 用 代理 网 关 则 实现 应 用 层 的 协议 翻译 ， 对 于 不 同 的 应 
用 , 需要 配置 不 同 的 应 用 代理 网 关 。 翻译 技术 的 优点 是 不 需要 进行 Pv4、IPv6 节点 的 升级 改造 ， 
缺点 是 IPv4 节点 访问 IPv6 节点 的 实现 方法 比较 复杂 ， 网 络 设 备 进行 协议 转换 、 地 址 转换 的 处 
理 开 销 较 大 。 因 此 ， 该 策略 一 般 是 在 其 他 互通 方式 无 法 使 用 的 情况 下 使 用 。 


8.7.1 1IPv6-over-IPv4 GRE 隧道 配置 


IPv6-over-IPv4 隧道 是 将 IPv6 报 文 封装 在 IPv4 报 文中 ， 让 IPv6 数据 包 穿 过 IPv4 网 络 进行 


je 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


1. 路 由 器 R1 部 分 配置 
基本 配置 : 


Router#configure terminal 


Enter configuration commands, one per line. End with CNTL/Z. 


Router(config)#hostname R1 
Rl(config)#no ip domain-lookup 


配置 串口 : 


Rl(config)# interface Serial 1/0 


Rl(config-if)# ip address 202.100.2.1 255.255.255.0 


Rl(config-if}#no shutdown 
配置 以 太 口 : 


Rl(config)#interface FastEthernet0/0 
Rl(config-if}#ipv6 address 2005:CCCC::1/64 
Rl(config-if)#exit 

Rl(config)#ipv6 unicast-routing 


配置 隧道 ; 


Rl(config)#interface tunnel 0 
Rl(config-if)#tunnel source s1/0 
Rl(config-if}#tunnel destinaltion 202.100.2.2 
Rl(config-if}#ipv6 address 2005:AAAA::1/64 
Rl(config-if}#tunnel mode gre ipv6 


配置 RIP 协议 : 

Rl(config)#interface tunnel 0 
Rl(config-if)#ipv6 rip test enable 
Rl(config-if)#interface FastEthernet0/0 
Rl(config-if)#ipv6 rip test enable 


2. 路 由 器 R2 部 分 配置 
基本 配置 : 


四 4 攻 


(路 由 器 命名 R1) 
(关闭 路 由 器 域名 解析 ) 


(设置 串口 地 址 ) 
(开启 串口 》 


(设置 以 太 口 地 址 ) 


(开启 IPv6 单 播 路 由 ) 


(启用 tunnel 0) 

(指定 tunnel 的 源 地 址 为 S0) 
(指定 tunnel 的 目标 地 址 》 

(为 tunnel 配置 IPv6 地 址 ) 
(tunnel 模式 为 ITPv6 的 GRE 隧道 ) 


(在 Rl tunnel 0 上 启用 RIP 协议， 别名 为 test) 


(在 Rl 以 太 口 0 上 启用 RIP 协议， 别名 为 test) 


加 载 中 
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的 地 址 一 一 ISATAP 地 址 。ISATAP 地 址 格式 为 Prefix (64bit) :0:SEFE:IPv4ADDR, 其 中 0: 5EFE 

是 IANA 规定 的 格式 ，IPv4ADDR 是 单 播 IPv4 地 址 ， 它 嵌入 到 IPv6 地 址 的 低 32 位 。ISATAP 

地 址 的 前 64 位 是 通过 向 ISATAP 路 由 器 发 送 请 求 得 到 的 ,如果 需 要 和 其 他 网 络 的 ISATAP 客户 

端 或 者 IPv6 网 络 通 信 , 必须 通过 ISATAP 路 由 器 拿 到 全 球 单 播 地 址 前 缀 (2001:, 2002:, 3ffe: 开 头 )， 
通过 路 由 器 与 其 他 IPv6 主机 和 网 络 通信 。 其 原理 如 图 8-33 所 示 。 


< 人 ISATAP Route 


ISATAP Host 


—* 
ICMPv6 Type 133 (RS) ICMPv6 Type 134 (RA) 
IPv4 Source: 192.1.2.1 IPv4 Source: L922.3 2 


IPv4 Destination:192.2.3.2 | 
IPv6 Source: fe80: ce7b:1464 IPv6 Source: fe8 Sete: ce7b:1fc8 
IPv6 Destination: fe80::Sefe:ce7b:1fc8 IPv6 Destination: fe80::5efe:ce7b:1464 
Send me ISATAP Prefix ISATAP Prefix: 3ffe:b00:fffF :2::/64 


图 8-33 ”ISATAP 隧道 获取 ISATAP 地 址 


ISATAP 隧道 可 以 用 于 在 IPv4 网 络 中 IPv6 路 由 器 一 IPv6 路 由 器 、 主 机 一 路 由 器 的 连接 。 
由 于 不 要 求 隧道 节点 具有 全 球 唯一 的 IPv4 地 址 ,可 以 用 于 内 部 私有 网 络 中 各 双 栈 主机 进行 IPv6 
通信 , 所 以 ISATAP 隧道 适用 于 在 IPv4 网 络 中 IPv6 主机 之 间 的 通信 或 IPv4 网 络 中 IPv6 主机 接 
入 到 IPv6 网 络 的 通信 。 

ISATAP 隧道 相关 配置 命令 及 功能 如 表 8-11 所 示 。 


表 8-11 ISATAP 隧道 相关 配置 命令 及 功能 

功 能 
给 一 个 网 络 接口 分 配 一 个 IPv4 地 址 ， 这 个 地 址 被 用 来 作为 
通过 隧道 传输 的 IPv6 数据 包 的 源 IPv4 地 址 ， 也 决定 了 
ISATAP 路 由 器 的 IPv6 ISATAP 地 址 
定义 了 路 由 器 上 启用 ISATAP 机 制 的 隧道 接口 编号 
隧道 源 指定 了 一 个 分 配 IPv4 地 址 的 接口 。 接 口上 的 IPv4 地 
址 定义 了 分 配给 路 由 器 的 ISATAP 地 址 的 低 32 位 
确定 了 隧道 接口 的 类 型 是 ISATAP 


命令 


interface interface-type interface-number 
ip address ipv4-address netmask 


interface tunnel-interface-number 


tunnel source 
interface-typeinterface-number 


tunnel mode ipv6 ip isatap 


6 
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Rl(config)# interface Serial 1/0 
Rl(config-if)# ip address 192.1.1.1 255.255.255.0 (设置 串口 地 址 ) 
Rl(config-if}#no shutdown (开启 串口 ) 


配置 以 太 口 : 


Rl(config)#interface FastEthernet0/0 
Rl(config-if)}#ip address 192.0.0.1 255.255.255.0 (设置 以 太 口 地 址 ) 
Rl(config-if)#exit 


配置 ospf 协议 : 


Rl(config)#router ospf 1 
Rl(config-router)#network 192.0.0.0 0.0.0.255 area 0 
Rl(config-router)#network 192.1.1.0 0.0.0.255 area 0 


2. 路 由 器 R3 部 分 配置 
基本 配置 : 


Router#configure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
Router(config)#hostname R3 (路 由 器 命 名 R3) 
R3(config)#no ip domain-lookup (关闭 路 由 器 域名 解析 》 


配置 串口 : 


R3(config)# interface Serial 1/0 
R3(config-ig# ip address 192.2.2.1 255.255.255.0 (设置 串口 地 址 ) 
R3(config-if}#no shutdown (开启 串口 ) 


配置 以 太 口 : 


R3(config)#interface FastEthernet0/0 
R3(config-if)#ipv6 address 2::1/64 (设置 以 太 口 地 址 ) 
R3(config-if)#exit 


配置 ospf 协议 : 


R3(config)#router ospf 1 
R3(config-router)#network 192.2.2.0 0.0.0.255 area 0 


EE 
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请 耐心 等 待 或 者 刷新 重 试 


。 ”动态 NAT-PT。 动 态 模 式 也 提供 一 对 一 的 映射 但 是 使 用 一 个 IPv4 地 址 池 。 池 中 的 源 
IPv4 地 址 数量 决定 了 并 发 的 IPv6 到 IPv4 转换 的 最 大 数目 。 在 IPv6 网 络 中 IPv6 单 协 
议 网 络 节点 动态 地 把 预定 义 的 NAT-PT 前 级 增加 到 目的 IPv4 地 址 。 这 种 模式 需要 一 个 
IPv4 地 址 池 来 执行 动态 的 地 址 转换 ， 动 态 NAT-PT 模式 和 IPv4 中 的 动态 NAT 类 似 。 

。 NAPTPT 网络 地 址 端口 转换 协议 转换 )。NAPT-PT 提供 多 个 有 NAT-PT 前 级 的 IPv6 
地 址 和 一 个 源 IPv4 地 址 间 的 多 对 一 动态 映射 。 这 种 转换 同时 在 第 三 层 (IPv4/IPv6) 和 
上 层 (TCP/UDP) 进行 。NAPT-PT 和 IPv4 中 的 PAT 转换 类 似 。 

下 面 通过 具体 的 实例 来 实现 NAP-PT 配置 。 

1. 静态 NAT-PT 

静态 NAT-PT 的 命令 及 功能 如 表 8-12 所 示 。 
表 8-12 静态 NAT-PT 映射 命令 
命令 功 能 
Router(config)#interface interface-type interface-number | 指定 启用 NAT-PT 机 制 的 网 络 接口 


- 接 - 启 国 制 ， 这 个 基于 接 
ENG 在 接口 上 启用 NAT-PT 机 制 ， 这 个 命令 基于 接 


口 启用 
Router(config)#interface interface-type interface-number | 指定 另外 一 个 启用 NAT-PT 的 接口 
Router(config-if)#ipv6 nat 在 接口 上 启用 NAT-PT 


详细 说 明 在 IPv6 域内 NAT-PT 使 用 的 IPv6 前 
缀 ，NATPT 只 支持 /96 的 网 络 前 绷 
Router(config)#ipv6 nat v6v4 source ipv6-address | 强制 将 源 IPv6 地 址 的 输出 IPv6 数据 包 转 换 成 


Router(config)j# ipv6 nat prefixipv6-prefix /96 


ipv4-address IPv4 数据 包 
Router(config)#ipv6 nat v4v6 source ipv4-address | 强制 将 源 IPv4 地 址 的 输出 IPv4 数据 包 转 换 成 
ipv6-address IPv6 数据 包 


图 8-35 显示 了 一 个 静态 NAT-PT 映射 配置 , 其 中 使 用 2001:aaaa::2 的 IPv6 单 协议 网 络 主机 
可 以 和 使 用 IPv4 地 址 192.17.5.2 的 IPv4 单 协议 网 络 主机 通信 。IPv6 网 络 使 用 NAT-PT 网 络 前 
级 是 2001:aaaa:0:0:0:1::/96, IPv4 主机 静态 映射 到 具有 NAT-PT 前 级 的 IPv6 地 址 2001:aaaa: 0:0:0: 
1::8, IPv6 网 络 主机 映射 到 具有 NATPT 地 址 192.17.5.200。 通过 在 路 由 器 上 应 用 静态 配置 , ITPv6 
单 协议 网 络 节 点 和 IPv4 单 协议 网 络 节点 都 可 以 彼此 通信 。 

Rl 具体 配置 如 下 : 


Rl#configure terminal 
Rl(config)# interface Ethernet0 
R1(config-if)#ip address 192.17.5.1 255.255.255.0 


中 4o 医 
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图 8-36 显示 了 一 个 动态 NAT-PT 映射 配置 ， 其 中 IPv6 单 协议 网 络 A 中 的 任意 节点 动态 映 
射 到 16.23.31.10 一 16.23.31.20 的 地 址 池 中 的 IPv4 地 址 (最 多 10 个 主机 )，IPv6 单 协 议 网 络 上 
NAT-PT 的 操作 使 用 的 前 级 是 2001:b00:0:0:0:1::/96。 通 过 在 路 由 器 Rl1 上 使 用 动态 NAT-PT 配置 ， 
IPv6 单 协议 网 络 节点 可 以 建立 到 IPv4 因特网 上 的 IPv4 节点 的 会 话 。 


一 - 


>» El1:2001:b00:0::1/48 
二 IPv4 Network )E0:16.23.31124 旺 1 iv6 Netwoik 
NA 


R1 
NAT-PT 2001:b00:0::/48 


图 8-36 ”动态 NAT-PT 映射 配置 


R1 动态 NAT-PT 配置 如 下 : 


R1 # configure terminal 

Rl(config) # interface ethemet0 

Rl(config-if) # ip address 16.23.31.1 255.255.255.0 
Rl(config-if) # ipv6 nat 

Rl(config-if) # interface ethernetl 

Rl(config-if) # ipv6 address 2001:b00:0::1/48 

Rl(config-if) # ipv6 nat 

Rl(config-if) # exit 

Rl(config) #ipv6 access-list ipv6 permit 2001:B00:0::/48 any 
Rl(config) #ipv6 nat prefix 2001:b00:0:0:0:1::/96 
Rl(config) #pv6 nat v6v4 pool ipv4-pool 16.23.31.10 16.23.31.20 prefix-length 24 
Rl(config) #pv6 nat v6v4 source list ipv6 pool ipv4-pool 
Rl(config) #exit 


3. NAPT-PT 


使 用 NAPT-PT 时 与 PAT 转换 类 似 ， 需 要 在 配置 动态 NAT-PT 映射 时 添加 overload 参数 ， 
参数 overload， 将 允许 多 个 内 部 地 址 使 用 相同 的 全 局 地 址 ， 配 置 示例 如 下 : 


R1#configure terminal 

Rl(config) # interface ethemet0 

Rl(config-if) #ip address 16.23.31.1 255.255.255.0 
Rl(config-if) # ipv6 nat 

Rl(config-if) # interface ethemetl 

Rl(config-if) # ipv6 address 2001:b00:0::1/48 
Rl(config-if) # ipv6 nat 


i 
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当 一 个 分 组 经 过 时 ， 路 由 器 按照 一 定 的 步骤 找 出 与 分 组 信息 匹配 的 ACL 语句 对 其 进行 处 
理 。 路 由 器 自 顶 向 下 逐个 处 理 ACL 语句 ， 首 先 把 第 一 个 语句 与 分 组 信息 进行 比较 ， 如 果 匹 配 ， 
则 路 由 器 将 允许 (Permit) 或 拒绝 (Deny) 分 组 通过 ; 如 果 第 一 个 语句 不 匹配 ， 则 照样 处 理 第 
二 个 语句 ， 直 到 找 出 一 个 匹配 的 。 如 果 在 整个 列表 中 没有 发 现 匹 配 的 语句 ， 则 路 由 器 丢弃 该 分 
组 。 于 是 ， 可 以 对 ACL 语句 的 处 理 规则 总 结 出 以 下 要 点 。 

(1) 一 旦 发 现 匹 配 的 语句 ， 就 不 再 处 理 列表 中 的 其 他 语句 。 

(2) 语句 的 排列 顺序 很 重要 。 

(3) 如 果 整 个 列表 中 没有 匹配 的 语句 ， 则 分 组 被 丢弃 。 

需要 特别 强调 ACL 语句 的 排列 顺序 。 如 果 有 两 条 语句 ， 一 个 拒绝 来 自 某 个 主机 的 通信 ， 
男 一 个 允许 来 自 该 主机 的 通信 ， 则 排 在 前 面 的 语句 将 被 执行 ， 而 排 在 后 面 的 语句 将 被 忽略 。 所 
以 在 安排 ACL 语句 的 顺序 时 要 把 最 特殊 的 语句 排 在 列表 的 最 前 面 ， 而 最 一 般 的 语句 排 在 列表 
的 最 后 面 ， 这 是 ACL 语句 排列 的 基本 原则 。 例 如 ， 下 面 的 两 条 语句 组 成 一 个 标准 ACL。 


access-list 10 permit host 172.16.1.0 0.0.0.255 
access-list 10 deny host 172.16.1.1 


第 一 条 语句 表示 人 允许 来 自 子 网 172.16.1.0/24 的 所 有 分 组 通过 ， 而 第 二 条 语句 表示 拒绝 来 
自主 机 172.16.1.1 的 通信 。 如 果 路 由 器 收 到 一 个 源 地 址 为 172.16.1.1 的 分 组 ， 则 首先 与 第 一 
条 语句 进行 匹配 ， 该 分 组 被 允许 通过 ， 第 二 条 语句 就 被 忽略 了 。 要 达到 预想 的 结果 一 一 允许 
来 自 除 主机 172.16.1.1 之 外 的 、 属 于 子 网 172.16.1.0/24 的 所 有 通信 ， 则 两 条 语句 的 顺序 必须 
互 换 。 


access-list 10 deny host 172.16.1.1 
access-list 10 permit host 172.16.1.0 0.0.0.255 


可 见 ， 列 表 顶 上 是 特殊 性 语句 ， 列 表 底 部 是 一 般 性 语句 。 

出 于 安全 性 考虑 ，ACL 的 默认 动作 是 拒绝 (Implicit Deny) ， 即 在 ACL 中 没有 找到 匹配 的 
语句 时 分 组 将 被 拒绝 通过 ， 这 相当 于 在 列表 最 后 有 一 个 隐 含 语句 拒绝 了 所 有 的 通信 。 由 此 引申 
出 的 一 条 规则 是 ， 每 一 个 ACL 至 少 要 有 一 条 “人 允许” 语句， 耕 则 只 有 “拒绝 ”语句 的 ACL 将 
丢弃 所 有 的 分 组 。 


8.8.2 ”ACL 配置 命令 


1. 配置 标准 ACL 的 命令 


Router(config)# access-list ACL #permitldeny conditions 


ea 
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1) ACL 语句 的 编辑 
编辑 ACL 语句 有 许多 限制 。 首 先 ， 对 于 编号 的 ACL， 不 能 删除 ACL 中 的 任何 表 项 ， 只 能 
删除 整个 ACL 列表 。 删 除 ACL 的 命令 是 : 


no access-list ACL # 


其 次 , 不 能 在 ACL 的 顶部 和 中 间 插 入 一 个 表 项 ， 当 前 输入 的 ACL 语句 行 总 是 附加 在 列表 
的 底部 。 最 后 ， 已 有 的 ACL 语句 也 不 能 修改 。 鉴 于 以 上 限制 条 件 ， 建 议 采 用 下 面 的 过 程 修改 
一 个 已 有 的 ACL 列表 。 

(1) 执行 show running-config 命令 ， 找 到 ACL 命令 列表 。 

(2) 复制 ACL 语句 列表 。 

(3) 粘贴 在 文本 编辑 器 〈 例 如 记事 本 ) 中 。 

(4) 对 ACL 语句 进行 编辑 ， 可 以 插入 、 删 除 或 修改 ACL 表 项 。 

(5) 复制 编辑 好 的 ACL 文本 。 

(6) 在 路 由 器 上 执行 命令 no ip access-group 4CL #inlout， 停 止 ACL 列表 的 应 用 。 

(7) 在 路 由 器 上 执行 命令 no access-list 4CL #， 删 除 原来 的 ACL 列表 。 

(8) 在 配置 模式 下 粘贴 编辑 好 的 ACL 文本 。 

(9) 在 端口 配置 子 模式 下 激活 新 的 ACL。 

2) 通配符 掩 码 

ACL 规定 使 用 通配符 掩 码 来 说 明子 网 地 址 , 通配符 掩 码 就 是 子 网 掩 码 按 位 取 反 的 结果 。 如 
下 两 个 特殊 的 通配符 掩 码 需要 说 明 。 

® 0.0.0.0 

和 2055255255.255 

通配符 掩 码 0.0.0.0 表示 ACL 语句 中 的 32 位 地 址 要 求全 部 匹配 ， 因而 叫做 主机 掩 码 。 例如 


192.168.1.1 0.0.0.0 


表示 主机 192.168.1.1 的 地址， 实际 上 路 由 器 把 这 个 地 址 转换 为 host 192.168.1.1， 注 意 
这 里 的 关键 字 host。 通 配 符 掩 码 255.255.255.255 表示 任意 地 址 都 是 匹配 的 ， 通常 与 地 址 0.0.0.0 
一 起 使 用 ， 例 如 : 


0.0.0.0 255.255.255.255 


路 由 器 将 把 这 个 地 址 转换 为 关键 字 any。 表 8-16 给 出 了 几 个 使 用 通配符 掩 码 的 例子 。 
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Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 
Router(config)# interface serial 0 
Router(config-if)# ip access-group 1 in 


这 样 ， 整 个 ACL 被 简化 为 两 条 语句 ， 从 而 提高 了 路 由 器 的 工作 效率 。 
例 2 下 面 是 配置 ACL 的 另外 一 个 例子 。 


Router(config)# access-list 2 deny 192.168.1.0 
Router(config)# access-list 2 deny 172.16.0.0 
Router(config)# access-list 2 permit 192.168.1.1 
Router(config)# access-list 2 permit 0.0.0.0 255.255.255.255 
Router(config)# interface ethernet 0 

Router(config-if)# ip access-group 2 out 


这 个 ACL 存在 儿 个 问题 。 第 一 个 语句 似乎 是 拒绝 了 整个 192.168.1.0/24 子 网 发 出 的 分 组 ， 
然而 实际 上 它 什 么 也 不 做 。 原 因 是 没有 后 随 通 配 符 掩 码 ， 这 意味 着 要 求 整个 地 址 全 部 匹配 ， 然 
而 没有 一 个 分 组 的 源 地 址 会 是 192.168.1.0， 所 以 没有 一 个 分 组 能 够 匹配 这 个 过 滤 条 件 。 第 二 个 
语句 有 同样 的 问题 。 第 三 个 语句 和 第 四 个 语句 是 对 的 。 可 见 ， 配 置 ACL 需要 谨慎 处 理 。 实 际 
上 ， 上 面 的 ACL 可 以 修改 如 下 : 


Router(config)# access-list 2 deny 192.168.1.0 0.0.0.255 
Router(config)# access-list 2 deny 172.16.0.0 0.0.255.255 
Router(config)# access-list 2 permit 192.168.1.1 
Router(config)# access-list 2 permit 0.0.0.0 255.255.255.255 
Router(config)# interface ethernet 0 

Router(config-if)# ip access-group 2 out 


经 过 这 样 修改 后 还 存在 一 个 问题 。 第 三 个 语句 实际 上 不 会 执行 ， 因 为 第 一 个 语句 已 经 拒绝 

了 子 网 192.168.1.0 发 出 的 所 有 分 组 ， 所 以 主机 192.168.1.1 发 出 的 分 组 也 不 会 通过 。 要 想 达到 
预想 的 过 滤 效 果 ， 只 有 把 特殊 的 语句 向 前 提 。 

Router(config)j# access-list 2 permit 192.168.1.1 

Router(config)# access-list 2 deny 192.168.1.0 0.0.0.255 

Router(config)# access-list 2 deny 172.16.0.0 0.0.255.255 

Router(config)# access-list 2 permit any 

Router(config)# interface ethernet 0 

Router(config-if)# ip access-group 2 out 


可 以 看 出 ， 第 四 个 语句 使 用 了 关键 字 “any”， 这 样 表示 更 简明 。 
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对 于 ICMP 协议 ， 配 置 命令 的 格式 为 : 
Router(config)# access-list 100-199|2000-2699 permitldeny icmp 
‘source_address source_wildcard_mask destination_address destination_wildcard_mask 
liemp_message] [log] 
其 中 的 参数 icmp message 用 于 说 明 ICMP 的 报 文 类 型 ， 表 8-19 列 出 了 几 种 常见 的 ICMP 
报 文 类 型 。 


表 8-19 ICMP 报 文 类 型 


报 文 类 型 报 文 解释 
administratively-prohibited 分 组 被 过 滤 ， 目 的 网 络 被 禁止 访问 
echo 回声 请 求 
echo-reply 回声 响应 
host-unreachable 主机 不 可 到 达 
net-unreachable 网 络 不 可 到 达 
port-unreachable 端口 不 可 访问 
time-exceeded 分 组 TTL 超时 
timestamp-request 时 间 戳 请 求 
timestamp-reply 时 间 戳 响应 
traceroute Traceroute 协议 (RFC1393) 
mask-request 子 网 掩 码 请 求 
mask-reply 子 网 掩 码 响应 
parameter-problem 分 组 参数 出 错 
redirect 路 由 重 定向 
source-quench 源 抑制 


4. 配置 扩展 ACL 实例 
例 1 下 面 是 配置 扩展 ACL 的 一 个 例子 。 


Router(config)# access-list 100 permit tcp any 172.16.0.0 0.0.255.255 established log 
Router(config)# access-list 100 permit udp any host 172.16.1.1 eq dns log 
Router(config)# access-list 100 permit tcp 172.17.0.0 0.0.255.255 host 172.16.1.2 eq telnet log 
Router(config)# access-list 100 permit icmp any 172.16.0.0 0.0.255.255 echo-reply log 
Router(config)# access-list 100 deny ip any any log 

Router(config)# interface ethernet 0 

Router(config-if)# ip access-group 100 in 
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网 络 地址 和 路 由 协议 的 配置 : 


Rl(config)# router rip 
Rl(config-router)# network 192.168.1.0 
Rl(config-router)# network 192.168.2.0 


R2(config)# router rip 
R2(config-router)# network 192.168.1.0 
Rl(config-router)# network 10.0.0.0 


R3(config)# router rip 
R3(config-router)# network 192.168.2.0 
R3(config-router)# network 10.0.0.0 


在 Rl 上 配置 访问 控制 列表 : 


Rl1# config t 

Rl(config)# access-list 50 deny 10.0.0.0 0.0.0.255 
Rl(config)# access-list 50 permit any 
Rl(config)# interface fastethernet 0/0 
Rl(config-if)# ip access-group 50 out 
Rl(config-if)# ^Z 


将 R2 和 R3 配置 为 Web 服务 器 : 


R2(config)# ip http server 
R3(config)# ip http server 


在 PC (192.168.3.2) 上 用 Web 浏览 器 查看 10.0.0.1 和 10.0.0.2 上 的 Web 浏览 器 ，Web 登 


录 需 要 输入 路 由 器 的 enable secret 口令 。 
在 Rl 上 配置 并 测试 访问 控制 列表 : 


Rl(config)# access-list 101 deny tcp 192.168.3.0 0.0.0.255 10.0.0.0 0.0.0.255 eg www 
Rl(config)# access-list 101 deny tcp 192.168.3.0 0.0.0.255 any eg ftp 

Rl(config)# access-list 101 permit ip any any 

Rl(config)# interface fastethernet 0/0 

Rl(config-if)# ip access-group 101 im 

Rl(config-if)#^Z 


在 PC (192.168.3.2) 上 用 Web 浏览 器 查看 10.0.0.1 和 10.0.0.2 上 的 Web 浏 
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(2) 为 存储 管理 信息 提供 数据 库 支 持 ， 例 如 关系 数据 库 或 面向 对 象 的 数据 库 。 

(3) 提供 用 户 接口 和 用 户 视 图 (View) 功能 ， 例 如 管理 信息 浏览 器 。 

(4) 提供 基本 的 管理 操作 ， 例 如 获取 管理 信息 ， 配 置 设备 参数 等 操作 过 程 。 

网 络 管理 应 用 是 用 户 根据 需要 开发 的 软件 ， 这 种 软件 运行 在 具体 的 网 络 上 ， 实 现 特定 的 管 
理 目标 ， 例 如 故障 诊断 和 性 能 优化 ， 或 者 业务 管理 和 安全 控制 等 。 

图 9-1 把 被 管理 资源 画 在 单独 的 框 中 ， 表 明 被 管理 资源 可 能 与 管理 站 处 于 不 同 的 系统 中 。 
网 络 管理 涉及 到 监视 和 控制 网 络 中 的 各 种 硬件 、 固 件 和 软件 元 素 , 例如 网 卡 、 集 线 器 、 中 继 器 、 
主机 、 外 围 设备 、 通 信 软 件 、 应 用 软件 和 实现 网 络 互 连 中 间 件 等 。 有 关 资 源 的 管理 信息 由 代理 
进程 控制 ， 代 理 进程 通过 网 络 管理 协议 与 管理 站 对 话 。 
9.1.2 网 络 管理 系统 的 配置 

网 络 管理 系统 的 配置 如 图 9-2 所 示 。 每 一 个 网 络 节点 都 包含 一 组 与 管理 有 关 的 软件 ， 叫 做 
网 络 管理 实体 (Network Management Entity，NME)。 网 络 管理 实体 完成 下 面 的 任务 。 


网 络 管理 站 人 
< 


工作 站 网 络 设备 
(代理 ) (代理 ) 


图 9-2 ”网 络 管理 系统 配置 
(1) 收集 有 关 网 络 通 信 的 统计 信息 。 
(2) 对 本 地 设备 进行 测试 ， 记 录 设 备 状态 信息 。 
(3) 在 本 地 存储 有 关 信 息 。 
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9.2 ”网络 监控 系统 的 组 成 


网 络 管理 功能 可 分 为 网 络 监视 和 网 络 控制 两 大 部 分 , 统称 网 络 监控 (Network Monitoring)。 
网 络 监视 是 指 收 集 系统 和 子 网 的 状态 信息 ， 分 析 被 管理 设备 的 行为 ， 以 便 发 现 网 络 运行 中 存在 
的 问题 。 网 络 控制 是 指 修改 设备 参数 或 重新 配置 网 络 资源 ， 以 便 改 善 网 络 的 运行 状态 。 有 具体 地 
说 ， 网 络 监控 要 解决 的 问题 如 下 。 

(1) 管理 信息 的 定义 。 监 视 哪些 管理 信息 ， 从 哪些 被 管理 资源 获得 管理 信息 。 

(2) 监控 机 制 的 设计 。 如 何 从 被 管理 资源 得 到 需要 的 信息 。 

(3) 管理 信息 的 应 用 。 根 据 收集 到 的 管理 信息 实现 什么 管理 功能 。 

下 面 首先 说 明 前 两 个 问题 ， 即 管理 信息 的 定义 和 监控 机 制 。 


9.2.1 管理 信息 的 组 成 


对 网 络 监控 有 用 的 管理 信息 可 以 分 为 如 下 三 类 。 

。 ”静态 信息 。 包 括 系 统 和 网 络 的 配置 信息 ， 例 如 路 由 器 的 端口 数 和 端口 编号 ， 工 作 站 的 

标识 和 CPU 类 型 等 ， 这 些 信息 不 经 常 变化 。 

。 ”动态 信息 。 与 网 络 中 出 现 的 事件 和 设备 的 工作 状态 有 关 ， 例 如 网 络 中 传送 的 分 组 数 、 

网 络 连 接 的 状态 等 。 

。 ”统计 信息 。 即 从 动态 信息 推导 出 的 信息 ， 例 如 平均 每 分 钟 发 送 的 分 组 数 、 传 输 失 败 的 

概率 等 。 

这 些 信息 组 成 的 管理 信息 库 如 图 9-6 所 示 。 配 置 数据 库 中 存储 着 计算 机 和 网 络 的 基本 配置 
信息 ， 传 感 器 数据 库 中 存储 着 传感器 的 设置 信息 。 传 感 器 是 一 组 软件 ， 用 于 实时 地 读 取 被 管理 
设备 的 有 关 参 数 。 配 置 数据 库 和 传感器 数据 库 共同 组 成 静态 数据 库 。 动 态 数据 库存 储 着 由 传 感 
器 收集 的 各 种 网 络 元 素 和 网 络 事件 的 实时 数据 。 统 计数 据 库 中 的 管理 信息 是 由 动态 信息 计算 出 
来 的 。 图 9-6 表示 出 这 三 种 数据 库 的 关系 。 

网 络 监 控 功 能 一 方面 要 确定 从 哪里 收集 管理 信息 ， 另 一 方面 还 要 确定 管理 信息 应 该 存储 在 
什么 地 方 。 静 态 信息 是 由 网 络 元 素 直接 产生 的 ， 通 常 由 驻 留 在 这 些 网 络 元 素 〈 例 如 路 由 器 ) 中 
的 代理 进程 收集 和 存储 , 必要 时 传送 给 监视 器 。 如 果 网 络 元 素 (例如 Modem) 中 没有 代理 进程 ， 
则 可 以 由 委托 代理 收集 这 些 静态 信息 ， 并 传送 给 监视 器 。 

动态 信息 通常 也 是 由 产生 有 关 事 件 的 网 络 元 素 收 集 和 存储 的 。 例 如 ， 工 作 站 建立 的 网 络 连 
接 数 就 存储 在 该 工作 站 中 。 然 而 对 于 一 个 局 域 网 来 说 ， 网 络 中 各 个 设备 的 行为 和 有 关 数 据 可 以 
由 连接 在 网 络 中 的 一 个 专用 主机 来 收集 和 记录 ， 这 个 主机 叫做 远程 网 络 监视 器 ， 它 的 作用 是 收 
集 整 个 子 网 的 通信 数据 ， 例 如 在 一 段 时 间 内 一 对 主机 交换 的 分 组 数 ， 或 网 络 中 出 现 的 冲突 次 
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图 9-6 管理 信息 库 的 组 成 


统计 信息 可 以 由 任何 能 够 访问 动态 信息 的 系统 产生 。 当 然 ， 统计 信息 也 可 以 由 网 络 监 视 器 
自己 产生 ， 这 就 要 求 把 所 有 需要 的 原始 数据 传送 给 监视 器 ， 再 由 监视 器 进行 分 析 和 计算 。 如 果 
原始 数据 的 量 很 大 ， 则 这 种 监控 方式 可 能 会 消耗 很 多 网 络 带宽 。 如 果 存 储 动态 信息 的 系统 进行 
了 分 析 和 计算 ， 则 不 但 节约 了 网 络 带 宽 ， 而 且 也 节省 了 监视 器 的 处 理 时 间 。 


9.2.2 网络 监控 系统 的 配置 


网 络 监 控 系 统 的 配置 如 图 9-7 (a) 所 示 。 监 控 应 用 程序 是 监控 系统 的 用 户 接口 ， 它 完成 性 
能 监视 、 故 障 监 视 和 计 费 监视 等 功能 。 管 理 功能 负责 与 其 他 网 络 元 素 中 的 代理 进程 通信 ， 把 需 
要 的 监控 信息 提供 给 监控 应 用 程序 。 这 两 个 模块 都 处 于 管理 站 中 。 管 理 对 象 表示 被 监控 的 网 络 
资源 中 的 管理 信息 ， 所 有 管理 对 象 遵从 网 络 管理 标准 的 规定 。 管 理 对 象 中 的 信息 通过 代理 功能 
提供 给 管理 站 。 图 9-7 (b) 中 增加 了 监控 代理 功能 。 这 个 模块 的 作用 是 专门 对 管理 信息 进行 计 


算 和 统计 分 析 ， 并 且 把 计算 的 结果 提供 给 管理 站 。 在 管理 


站 看 来 ， 监 控 代 到 


的 作用 和 一 般 代理 
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报告 。 
事件 报告 是 由 代理 主动 发 送 给 管理 站 的 消息 。 代 理 可 以 根据 管理 站 的 要 求 ( 周 期, 内容 等 ) 
定时 地 发 送 状态 报告 ， 也 可 能 在 检测 到 某 些 特定 事件 〈 例 如 状态 改变 ) 或 非 正常 事件 〈 例 如 出 
现 故 障 ) 时 生成 事件 报告 ， 发 送 给 管理 站 。 事 件 报告 对 于 及 时 发 现 网 络 中 的 问题 是 很 有 用 的 ， 
特别 是 对 于 监控 状态 信息 不 经 常 改变 的 管理 对 象 更 有 效 。 

在 已 有 的 各 种 网 络 监控 系统 中 都 设置 了 轮 询 和 事件 报告 两 种 通信 机 制 ， 但 强调 的 重点 有 所 
不 同 。 传 统 的 通信 管理 网 络 主要 依赖 事件 报告 ， 而 SNMP 强调 轮 询 方法 ，OSI 系统 管理 则 采取 
了 这 两 种 极端 方法 的 中 间 道 路 。 然 而 无 论 是 SNMP， 或 是 OSI， 以 及 某 些 专用 的 管理 系统 都 允 
许 用 户 根据 具体 情况 决定 使 用 何 种 通信 方式 。 影 响 通信 方式 选择 的 主要 因素 如 下 。 

(1) 传送 监控 信息 需要 的 通信 量 。 

(2) 对 危急 情况 的 处 理 能 力 。 

(3) 对 网 络 管理 站 的 通信 时 延 。 

(4) 被 管理 设备 的 处 理工 作 量 。 

(5) 消息 传输 的 可 靠 性 。 

(6) 网 络 管理 应 用 的 特殊 性 。 

(7) 在 发 送 消息 之 前 通信 设备 失效 的 可 能 性 。 


9.3 网 络 管理 功能 域 


网 络 管理 有 5 大 功能 域 ， 即 故障 管理 〈Fault Management)、 配 置 管理 (Configuration 
Management)、 计 费 管理 〈Accounting Management)、 性 能 管理 (Performance Management) 和 
安全 管理 (Security Management)， 简 写 为 F-CAPS。 传 统 上 ， 性 能 、 故 障 和 计 费 管理 属于 网 络 
监视 功能 ， 另 外 两 种 属于 网 络 控制 功能 。 


9.3.1 性 能 管理 


网 络 监 视 中 最 重要 的 是 性 能 监视 , 然而 要 能 够 准确 地 测量 出 对 网 络 管理 有 用 的 性 能 参数 却 
是 不 容易 的 。 可 选择 的 性 能 指标 很 多 ， 有 些 很 难 测量 ， 或 计算 量 很 大 ， 但 不 一 定 很 有 用 ;有 些 
有 用 的 指标 则 没有 得 到 制造 商 的 支持 , 无 法 从 现 有 的 设备 上 检测 到 。 还 有 些 性 能 指标 互相 关联 ， 
要 互相 参照 才能 说 明 问题 。 这 些 情 况 都 增加 了 性 能 测量 的 复杂 性 。 这 一 小 节 介绍 性 能 管理 的 基 
本 概念 ， 给 出 对 网 络 管理 有 用 的 两 类 性 能 指标 : 面向 服务 的 性 能 指标 和 面向 效率 的 性 能 指标 。 
当然 ， 网 络 最 主要 的 目标 是 向 用 户 提供 满意 的 服务 ， 因 而 面向 服务 的 性 能 指标 应 具有 较 高 的 优 
先 级 。 下 面前 三 个 是 面向 服务 的 性 能 指标 ， 后 两 个 是 面向 效率 的 性 能 指标 。 
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路 工作 的 概率 为 4 (1-4) + (1-4) 4=24-24*=0.18。 则 有 
4 ( 非 峰值 时 段 ) =1.0X0.18+1.0X0.81-0.99 
At (峰值 时 段 ) -0.8X0.18+1.0X0.81-0.954 
于 是 系统 的 平均 可 用 性 为 
41=0.6XAt (峰值 时 段 )+0.4X4y ( 非 峰值 时 段 ) =0.9684 


2， 响 应 时 间 


响应 时 间 是 指 从 用 户 输入 请 求 到 系统 在 终端 上 返回 计算 结果 的 时 间 间 隔 。 从 用 户 角度 看 ， 
这 个 时 间 要 和 人 们 的 思考 时 间 (等 于 两 次 输入 之 间 的 最 小 间隔 时 间 ) 配合 , 越 是 简单 的 工作 ( 例 
如 数据 录入 ) 要 求 响应 时 间 越 短 。 然 而 从 实现 角度 看 ， 响 应 时 间 越 短 ， 实 现 的 代价 越 大 。 研 究 
表明 ， 系 统 响应 时 间 对 人 的 生产 率 的 影响 是 很 大 的 。 在 交互 式 应 用 中 ， 响 应 时 间 大 于 15s， 大 
多 数 人 是 不 能 容 妨 的。 响应 时 间 大 于 4s 时 ， 人 们 的 短期 记忆 会 受到 影响 ,工作 的 连续 性 会 被 破 
坏 。 尤 其 是 对 数据 录入 人 员 来 说 ， 这 种 情况 下 击 键 的 速度 会 严重 受 控 ， 只 是 在 输入 完 一 个 段落 
后 , 才 可 以 有 比较 大 的 延迟 (例如 4s 以 上 )。 越 是 注意 力 高 度 集中 的 工作 ， 要 求 响应 时 间 越 短 。 
特别 是 对 于 需要 记 住 以 前 的 响应 、 根 据 前 边 的 响应 决定 下 一 步 的 输入 时 , 延迟 时 间 应 该 小 于 2s。 
在 用 鼠标 单 击 图 形 或 进行 键盘 输入 时 ， 要 求 的 响应 时 间 更 小 ， 可 能 在 0.1s 以 下 。 这 样 人 们 会 感 
到 计算 机 是 同步 工作 的 ， 几 乎 没有 等 待 时 间 。 图 9-9 表示 应 用 CAD 进行 集成 电路 设计 时 生产 
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图 9-9 系统 响应 时 间 与 生产 率 的 关系 
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。 ”出 口服 务 时 间 : 通过 网 络 把 响应 报 文 传送 到 网 络 接口 设备 的 处 理 时 间 。 
。 出 口 终端 延迟 : 终端 接收 响应 报 文 的 时 间 ， 主 要 是 由 通信 延迟 引起 的 。 
响应 时 间 是 比较 容易 测量 的 ， 是 网 络 管理 中 重要 的 管理 信息 。 

3. 正确 性 


这 是 指 网 络 传输 的 正确 性 。 由 于 网 络 中 有 内 置 的 纠 错 机 制 ， 所 以 通常 用 户 不 必 考 虑 数据 传 
输 是 否 正 确 。 但 是 ， 监 视 传输 误 码 率 可 以 发 现 瞬 时 的 线路 故障 ， 以 及 是 否 存 在 噪声 源 和 通信 干 
扰 ， 以 便 及 时 采取 维护 措施 。 


4. 香 吐 率 


【 


吞吐 率 是 面向 效率 的 性 能 指标 ， 有 具体 表现 为 一 段 时 间 内 完成 的 数据 处 理 量 (Mbps 或 分 组 
数 每 秒 )， 或 者 接受 用 户 会 话 的 数量 ， 或 者 处 理 呼 叫 的 数量 等 。 跟 踪 这 些 指标 可 以 为 提高 网 络 
传输 效率 提供 依据 。 

S.， 利用 率 


利用 率 是 指 网 络 资源 利用 的 百分率 ， 它 也 是 面向 效率 的 指标 。 这 个 参数 与 网 络 负载 有 关 ， 
当 负 载 增加 时 ， 资 源 利用 率 增 大 ， 因 而 分 组 排队 时 间 和 网 络 响应 时 间 变 长 ， 甚 至 会 引起 吞吐 率 
降低 。 当 相对 负载 (负载 /容量 ) 增加 到 一 定 程度 时 ， 响 应 时 间 迅 速 增长 ， 从 而 引发 传输 瓶颈 和 
网 络 拥挤 。 图 9-11 表示 响应 时 间 随 相对 负载 成 指数 上 升 的 情况 。 特 别 值得 注意 的 是 ， 实 际 情况 
往往 与 理论 计算 结果 相左 ， 造 成 失去 控制 的 通信 阻塞 ， 这 是 应 该 设法 避免 的 ， 所 以 需要 更 精致 
的 分 析 技 术 。 
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图 9-11 网 络 响应 时 间 与 负载 的 关系 
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收集 到 的 性 能 参数 组 织 成 性 能 测试 报告 ， 以 图 形 或 表格 的 形式 呈现 给 网 络 管理 员 。 对 于 局 
域 网 来 说 ， 性 能 测试 报告 应 包括 : 
。 ”主机 对 通信 和 矩 阵 。 一 对 源 主机 和 目标 主机 对 之 间 传 送 的 总 分 组 数 、 数 据 分 组 数 、 数 据 
字 节 数 以 及 它们 所 占 的 百分比 。 
。 主机 组 通信 垂 阵 。 一 组 主机 之 间 通 信 量 的 统计 ， 内 容 与 上 一 条 类 似 。 
。 分 组 类 型 直方 图 。 各 种 类 型 的 原始 分 组 〈 例 如 广播 分 组 、 组 播 分 组 等 ) 的 统计 信息 ， 
用 直方 图 表示 。 
。 ”数据 分 组 长 度 直方 图 。 不 同 长 度 〈 字 节 数 ) 的 数据 分 组 的 统计 。 
。 吞吐 率 一 一 利用 率 分 布 。 各 个 网 络 节点 发 送 /接收 的 总 字 节 数 和 数据 字 节 数 的 统计 。 
。 分 组 到 达 时 间 直 方 图 。 不 同时 间 到 达 的 分 组 数 的 统计 。 
。 信道 获取 时 间 直 方 图 。 在 网 络 接口 单元 (NIU) 排队 等 竺 发送、 经 过 不 同 延迟 时 间 的 
分 组 数 的 统计 。 
。 通信 延迟 直方 图 。 从 发 出 原始 分 组 到 分 组 到 达 目 标的 延迟 时 间 的 统计 。 
。 冲突 计数 直方 图 。 经 受 不 同 冲突 次 数 的 分 组 数 的 统计 。 
。 ”传输 计数 直方 图 。 经 过 不 同 试 发 送 次 数 的 分 组 数 的 统计 。 
另外 ， 还 应 包括 功能 全 面 的 性 能 评价 程序 (对 网 络 当前 的 运行 状态 进行 分 析 ) 和 人 工 负载 
生成 程序 (产生 性 能 测试 数据 )， 帮 助 管理 人 员 进 行 管理 决策 。 


9.3.2 ”故障 管理 


故障 监视 就 是 要 尽快 地 发 现 故 障 ， 找 出 故障 原因 ， 以 便 及 时 采取 补救 措施 。 在 复杂 的 系统 
中 ， 发 现 和 诊断 故障 是 不 容易 的 。 首 先是 有 些 故 障 很 难 观察 到 ， 例 如 分 布 处 理 中 出 现 的 死 锁 就 
很 难 发 现 。 其 次 是 有 些 故 障 现象 不 足以 表明 故障 原因 ， 例 如 发 现 远程 节点 没有 响应 ， 但 是 否 低 
层 通信 协议 失效 不 得 而 知 。 更 有 些 故障 现象 具有 不 确定 性 和 不 一 致 性 ， 引 起 故障 的 原因 很 多 ， 
使 得 故障 定位 复杂 化 。 例 如 ， 终 端 死 机 、 线 路 中 断 、 网 络 拥塞 或 主机 故障 都 会 引起 同样 的 故障 
现象 ， 到 底 问 题 出 在 哪儿 ， 需 要 复杂 的 故障 定位 手段 。 故 障 管理 可 分 为 如 下 三 个 功能 模块 。 

(1) 故障 检测 和 报警 功能 。 故 障 监视 代理 要 随时 记录 系统 出 错 的 情况 和 可 能 引起 故障 的 事 
件 ， 并 把 这 些 信息 存储 在 运行 日 志 数 据 库 中 。 在 采用 轮 询 通 信 的 系统 中 ， 管 理应 用 程序 定期 访 
问 运行 日 志 记 录 ， 以 便 发 现 故障 。 为 了 及 时 检测 重要 的 故障 问题 ， 代 理 也 可 以 主动 向 有 关 管 理 
站 发 送出 错 事件 报告 。 另 外 ， 对 出 错 报告 的 数量 、 频 率 要 有 适当 地 控制 ， 以 免 加 重 网 络 负载 。 

(2) 故障 预测 功能 。 对 各 种 可 以 引起 故障 的 参数 建立 门限 值 ， 并 随时 监视 参数 值 变 化 ， 一 
旦 超过 门限 值 ， 就 发 送 警 报 。 例 如 ， 由 于 出 错 产 生 的 分 组 碎片 数 超过 一 定 值 时 发 出 警报 ， 表 示 
线路 通信 恶化 ， 出 错 率 上 升 。 
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9.3.4 配置 管理 


配置 管理 是 指 初始 化 、 维 护 和 关闭 网 络 设备 或 子 系统 。 被 管理 的 网 络 资源 包括 物理 设备 ( 例 
如 服务 器 、 路 由 器 ) 和 底层 的 逻辑 对 象 〈 例 如 传输 层 定时 器 )。 配 置 管理 功能 可 以 设置 网 络 参 
数 的 初始 值 /默认 值 ， 使 网 络 设备 初始 化 时 自动 形成 预定 的 互联 关系 。 当 网 络 运行 时 ， 配 置 管理 
监视 设备 的 工作 状态 , 并 根据 用 户 的 配置 命令 或 其 他 管理 功能 的 请 求 改变 网 络 配置 参数 。 例 如， 
若 性 能 管理 检测 到 响应 时 间 延 长 ， 并 分 析出 性 能 降级 的 原因 是 由 于 负载 失衡 ， 则 配置 管理 将 通 
过 重新 配置 〈 例 如 改变 路 由 表 ) 改善 系统 响应 时 间 。 又 例如 ， 故 障 管理 检测 到 一 个 故障 ， 并 确 
定 了 故障 点 ， 则 配置 管理 可 以 改变 配置 参数 ， 把 故障 点 隔离 ， 恢 复 网 络 正常 工作 。 配 置 管理 应 
包含 下 列 功能 模块 。 

。 ”定义 配置 信息 。 

。 ”设置 和 修改 设备 属性 。 

。 ”定义 和 修改 网 络 元 素 间 的 互联 关系 。 

。 ”启动 和 终止 网 络 运行 。 

。 发行 软 件 。 

。 ”检查 参数 值 和 互联 关系 。 

。 告 配置 现状 。 

最 后 两 项 属于 配置 监视 功能 ， 即 管理 站 通过 轮 询 随 时 访问 代理 保存 的 配置 信息 ， 或 者 代理 
通过 事件 报告 及 时 向 管理 站 通知 配置 参数 改变 的 情况 。 下 面 解释 配置 控制 的 其 他 功能 。 


1， 定义 配置 信息 


配置 信息 描述 网 络 资源 的 特征 和 属性 ， 这 些 信 息 对 其 他 管理 功能 是 有 用 的 。 网 络 资源 包括 
物理 资源 〈 例 如 主机 、 路 由 器 、 网 桥 、 通 信 链 路 和 Modem 等 ) 和 逻辑 资源 (例如 定时 器 、 计 
数 器 和 虚 电路 等 )。 设 备 的 属性 包括 名 称 、 标 识 符 、 地 址 、 状 态 、 操 作 特 点 和 软件 版 本 。 配 置 
信息 可 以 有 多 种 组 织 方式 。 简 单 的 配置 信息 组 织 成 由 标量 组 成 的 表 ， 每 一 个 标量 值 表示 一 种 属 
性 值 ，SNMP 采用 这 种 方法 。 在 OSI 系统 管理 中 ， 管 理 信息 定义 为 面向 对 象 的 数据 库 。 对 象 的 
值 表示 被 管理 设备 的 特性 ， 对 象 的 行为 《例如 通知 ) 代表 了 管理 操作 ， 对 象 之 间 的 包含 关系 和 
继承 关系 则 规范 了 它们 之 间 的 互相 作用 。 另 外 ， 还 有 一 些 系统 用 关系 数据 库 表示 管理 信息 。 

管理 信息 存储 在 与 被 管理 设备 最 接近 的 代理 或 委托 代理 中 , 管理 站 通过 轮 询 或 事件 报告 访 
问 这 些 信息 。 网 络 管理 员 可 以 在 管理 站 提供 的 用 户 界面 上 说 明 管 理 信息 值 的 范围 和 类 型 ， 用 以 
设置 被 管理 资源 的 属性 。 网 络 控制 功能 还 允许 定义 新 的 管理 对 象 ， 在 指定 的 代理 中 生成 需要 的 
管理 对 象 或 数据 元 素 。 产 生 新 数据 的 过 程 可 以 是 联机 的 、 动 态 的 ， 或 是 脱 机 的 、 静 态 的 。 
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(a) 正常 流动 (b) 中 断 (c) 窃取 


Oe O > 
(d) 自 改 (e) 假冒 
图 9-13 ”对 网 络 通信 的 安全 威胁 
(d) 算 改 (modification)。 未 经 授权 的 入 侵 者 不 仅 访问 了 信息 资源 ， 而 且 算 改 了 信息 ， 这 
是 对 数据 完整 性 的 威胁 。 例 如 改变 文件 中 的 数据 ， 改 变 程序 的 功能 ， 修 改 网 上 传送 的 报 文 等 。 


(e) 假冒 《fabrication)。 未 经 授权 的 入 侵 者 在 网 络 信息 中 加 入 了 伪造 的 内 容 ， 这 也 是 对 数 
据 完整 性 的 威胁 。 例 如 向 网 络 用 户 发 送 虚 假 的 消息 ， 在 文件 中 插入 伪造 的 记录 等 。 


2. 对 计算 机 网 络 的 安全 威胁 
图 9-14 所 示 为 对 计算 机 网 络 的 各 种 安全 威胁 ， 分 别 解释 如 下 。 


纂 改 


图 9-14 对 计算 机 网 络 资源 的 安全 威胁 
(1) 对 硬件 的 威胁 。 主 要 是 破坏 系统 硬件 的 可 用 性 ， 例 如 有 意 或 无 意 的 损坏 、 甚 至 盗窃 网 
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安全 管理 记录 用 户 的 活动 属性 (Profile) 以 及 特殊 文件 的 使 用 属性 ， 检 查 可 能 出 现 的 异常 
访问 活动 。 安 全 管理 功能 使 管理 人 员 能 够 生成 和 删除 与 安全 有 关 的 对 象 ， 改 变 它们 的 属性 或 状 
态 ， 影 响 它们 之 间 的 关系 。 


3. 加密 过 程控 制 
安全 管理 能 够 在 必要 时 对 管理 站 和 代理 之 间 交 换 的 报 文 进行 加 密 。 安 全 管理 也 能 够 使 用 其 
他 网 络 实体 的 加 密 方 法 。 此 外 ， 这 个 功能 还 可 以 改变 加 密 算法 ， 具 有 密 钥 分 配 能 力 。 


9.4 简单 网 络 管理 协议 


在 20 世纪 80 年 代 末 ， 随 着 对 网 络 管理 系统 的 迫切 需求 和 网 络 管理 技术 的 日 臻 成熟， 国际 
标准 化 组 织 开始 制订 关于 网 络 管理 的 国际 标准 。 首 先是 ISO 在 1989 年 颁布 了 ISO DIS 7498-4 
(XX.700) 文件 ， 定 义 了 网 络 管理 的 基本 概念 和 总 体 框 架 ， 后 来 在 1991 年 发 布 的 两 个 文件 中 规 
定 了 网 络 管理 提供 的 服务 和 网 络 管理 协议 ， 即 ISO 9595 公共 管理 信息 服务 定义 (Common 
Management Information Service，CMIS) 和 ISO 9596 公共 管理 信息 协议 规范 (Common 
Management Information Protocol，CMIP)。 在 1992 年 公布 的 ISO 10164 文件 中 规定 了 系统 管理 
功能 (System Management Functions，SMFs)， 而 ISO 10165 文件 则 定义 了 管理 信息 结构 
(Structure of Management Information，SMI)。 这 些 文件 共同 组 成 了 ISO 的 网 络 管理 标准 。 这 是 
一 个 非常 复杂 的 协议 体系 ， 管 理 信息 采用 了 面向 对 象 的 模型 ， 管 理 功能 包罗 万 象 ， 另 外 还 有 一 
些 附加 的 功能 和 一 致 性 测试 方面 的 说 明 。 由 于 其 复杂 性 ， 有 关 ISO 管理 的 实现 进展 缓慢 ， 很 少 
有 适用 的 网 管 产品 。 

另 一 方面 ， 随 着 20 世纪 90 年 代 初 Intemet 的 迅猛 发 展 ， 有 关 TCP/IP 网 络 管理 的 研究 活动 
二分 活跃 ， 另 一 类 网 络 管理 标准 正在 迅速 流传 和 广泛 应 用 。TCP/P 网 络 管理 方面 最 初 使 用 的 是 
1987 年 11 月 提出 的 简单 网 关 监 控 协 议 (Simple Gateway Monitoring Protocol，SGMP)， 在 此 基 
础 上 改进 成 简单 网 络 管理 协议 第 一 版 (Simple Network Management Protocol，SNMPv1)， 陆 续 
公布 在 1990 和 1991 年 的 几 个 RFC(Request For Comments) 文 件 中 , 即 RFC 1155(SMI)、RFC1157 
(SNMP)、RFC1212 (MIB 定义 ) 和 RFC1213 (MIB-2 规范 )。 由 于 其 简单 性 和 易于 实现 , SNMPv1 
得 到 了 许多 制造 商 的 支持 和 广泛 的 应 用 。 几 年 以 后 ， 在 第 一 版 的 基础 上 改进 功能 和 安全 性 ， 又 
产生 了 第 二 版 SNMPv2 (RFC1902-1908，1996) 和 SNMPv3 (RFC2570-2575 Apr1999 )。 

在 同一 时 期 , 用 于 监控 局 域 网 通信 的 标准 一 一 远程 网 络 监 控 (Remote Monitoring, RMON) 
也 出 现 了 ， 这 就 是 RMON-1 (1991) 和 RMON-2 (1995)。 这 一 组 标准 定义 了 监视 网 络 通信 的 
管理 信息 库 ， 是 SNMP 管理 信息 库 的 扩充 , 与 SNMP 协议 配合 可 以 提供 更 有 效 的 管理 性 能 ， 
得 到 了 广泛 应 用 。 
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另外 ，IEEE 定义 了 局 域 网 的 管理 标准 ， 即 IEEE 802.1b LAN/MAN 管理 。 这 个 标准 用 于 管 
理 物理 层 和 数据 链 路 层 的 OSI 设备 ， 因 而 叫做 CMOL (CMIP over LLC)。 

为 了 适应 电信 网 络 的 管理 需要 , ITU-T 在 1989 年 定义 了 电信 网 络 管理 标准 (Telecommuni- 
cations Management Network，TMN)， 即 M.30 建议 〈 蓝 皮 书 )。 


9.4.1 SNMPv1 


Intemet 最 初 的 网 络 管理 框架 由 4 个 文件 定义 , 如 图 9-16 所 示 , 这 就 是 SNMPv1。RFC1155 
定义 了 管理 信息 结构 ， 规 定 了 管理 对 象 的 语法 和 语义 。SMI 主要 说 明了 怎样 定义 管理 对 象 和 怎 
样 访问 管理 对 象 。 RFC1212 说 明了 定义 MIB 模块 的 方法 ， 而 RFC1213 则 定义 了 MIB-2 管理 对 
象 的 核心 集合 ， 这 些 管理 对 象 是 任何 SNMP 系统 必须 实现 的 。 最 后 ，RFC1157 是 SNMPv1 协 
议 的 规范 文件 。 


Structure of Management Information 


SNMP 网 络 管理 框架 


Management Information Base (MIB-2) 


Format for MIB Modules 


SNMPYv1 


图 9-16 SNMPv1 网 络 管理 框架 的 定义 


1. SNMP 体系 结构 


图 9-17 所 示 为 Intemet 网 络 管理 的 体系 结构 。 由 于 SNMP 定义 为 应 用 层 协议 ， 所 以 它 依赖 
于 UDP 数据 报 服务 。 同 时 ，SNMP 实体 向 管理 应 用 程序 提供 服务 ， 它 的 作用 是 把 管理 应 用 程 
序 的 服务 调用 变 成 对 应 的 SNMP 协议 数据 单元 ， 并 利用 UDP 数据 报 发 送出 去 。 

其 所 以 选择 UDP 协议 而 不 是 TCP 协议 ， 是 因为 UDP 效率 较 高 ， 这 样 实现 网 络 管理 不 会 
太 多 地 增加 网 络 负载 。 但 由 于 UDP 不 是 很 可 靠 ， 所 以 SNMP 报 文 容易 丢失 。 为 此 ， 对 SNMP 
实现 的 建议 是 对 每 个 管理 信息 要 装配 成 单独 的 数据 报 独 立 发 送 , 而 且 报 文 应 短 些 , 不 要 超过 484 
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议 数据 单元 (PDU)。 报 文 头 中 的 版 本 号 是 指 SNMP 的 版 本 ，RFC1157 为 第 一 版 。 团 体 名 用 于 
身份 认证 。SNMP 共有 5 种 管理 操作 ， 但 只 有 4 种 PDU 格式 。 管 理 站 发 出 的 三 种 请 求 报 文 
GetRequest、GetNextRequest 和 SetRequest 采用 的 格式 是 一 样 的 ， 代 理 的 应 答 报 文 格式 只 有 一 
种 GetResponsePDU。 关 于 PDU 中 各 个 字段 的 含义 ， 解 释 如 下 。 


SNMP 报 文 
版 本 号 团体 名 SNMP PDU 


GetRequestPDU, GetNextRequestPDU 和 SetRequestPDU 


PDU 类 型 请 求 标识 0 0 变量 绑 定 表 
GetResponsePDU 

PDU 类 型 “| 请 求 标识 | 错误 状态 | 错误 索引 变量 绑 定 表 
TrapPDU 


PDU 类 型 | 制造 商 ID | 代理 地 址 | 一 般 陷 入 | 特殊 陷入 | 时 间 稚 | 变量 绑 定 表 


变量 绑 定 表 
名 字 1 值 1 名 字 2 值 2 本 | 名 字 n | 值 n 


图 9-19 SNMP 报 文 格式 


从 图 9-19 中 可 以 看 出 ， 除 了 Trap 之 外 的 4 种 PDU 格式 是 相同 的 ， 共 有 5 个 字段 。 

。 PDTU 类 型 : 共 5 种 类 型 的 PDU。 

。 ”请求 标识 (request-id): 赋予 每 个 请 求 报 文 唯 一 的 整数 ， 用 于 区 分 不 同 的 请 求 。 由 于 在 
具体 实现 中 请 求 多 是 在 后 台 执 行 ， 当 应 答 报 文 返回 时 要 根据 其 中 的 请 求 标识 与 请 求 报 
文 配对 。 请 求 标识 的 另 一 个 作用 是 检测 由 不 可 靠 的 传输 服务 产生 的 重复 报 文 。 

。 ”错误 状态 (error-status): 表示 代理 在 处 理 管理 站 的 请 求 时 可 能 出 现 的 各 种 错误 。 

。 ”错误 索引 (error-index): 当 错 误 状 态 非 0 时 指向 出 错 的 变量 。 

。 ”变量 绑 定 表 (variable-binding): 变量 名 和 对 应 值 的 表 ， 说 明 要 检索 或 设置 的 所 有 变量 
及 其 值 。 在 检索 请 求 报 文中 ， 变 量 的 值 应 为 0。 


3. SNMP 协议 的 操作 


SNMP 报 文 在 管理 站 和 代理 之 间 传 送 ， 包 含 GetRequest、GetNextRequest 和 SetRequest 的 
报 文 由 管理 站 发 出 ， 代 理 以 GetResponse 响应 。 所 有 报 文 发 送 和 应 答 序列 如 图 9-20 所 示 。 一般 
来 说 ， 管 理 站 可 连续 发 出 多 个 请 求 报 文 ， 然 后 等 待 代理 返回 的 应 答 报 文 。 如 果 在 规定 的 时 间 内 
收 到 应 答 ， 则 按照 请 求 标识 进行 配对 ， 即 应 答 报 文 必须 与 请 求 报 文 有 相同 的 请 求 标识 。 
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允许 Get 和 Trap 操作 ， 通 过 Set 操作 控制 网 络 设备 是 被 严格 限制 的 。 

SNMP 定义 的 陷入 类 型 是 很 少 的 ， 虽然 可 以 补充 设备 专用 的 陷入 类 型 ， 但 专用 的 陷入 往往 
不 能 被 其 他 制造 商 的 管理 站 理解 ， 所 以 管理 站 主要 靠 轮 询 收集 信息 。 轮 询 的 频率 对 管理 的 性 能 
影响 很 大 。 如 果 管 理 站 在 启动 时 轮 询 所 有 代理 ， 以 后 只 是 等 待 代理 发 来 的 陷入 ， 这 样 就 很 难 党 
握 网 络 的 最 新 动态 。 例 如 ， 不 能 及 时 了 解 网 络 中 出 现 的 拥塞 。 

需要 一 种 能 提高 网 络 管理 性 能 的 轮 询 策略 ， 以 决定 合适 的 轮 询 频率 。 通 常 轮 询 频 率 与 网 络 
的 规模 和 代理 的 多 少 有 关 。 而 网 络 管理 性 能 还 取决 于 管理 站 的 处 理 速度 、 子 网 数据 速率 、 网 络 
拥塞 程度 等 众多 的 因素 ， 所 以 很 难 给 出 准确 的 判断 规则 。 为 了 使 问题 简化 ， 假 定 管理 站 一 次 只 
能 与 一 个 代理 作用 ， 轮 询 只 是 采用 get 请 求 /响应 这 种 简单 形式 ， 而 且 管 理 站 全 部 时 间 都 用 来 轮 
询 ， 于 是 有 下 面 的 不 等 式 


N<T/IA 
其 中 : N 一 一 被 轮 询 的 代理 数 ; 

T 一 一 轮 询 间 隔 ; 

人 A 一 一 单个 轮 询 需 要 的 时 间 。 

A 与 下 列 因 素 有 关 。 

(1) 管理 站 生成 一 个 请 求 报 文 的 时 间 。 

(2) 从 管理 站 到 代理 的 网 络 延迟 。 

(3) 代理 处 理 一 个 请 求 报 文 的 时 间 。 

(4) 代理 产生 一 个 响应 报 文 的 时 间 。 

(5) 从 代理 到 管理 站 的 网 络 延 迟 。 

(6) 管理 站 处 理 一 个 响应 报 文 的 时 间 。 

(7) 为 了 得 到 需要 的 管理 信息 ， 交 换 请 求 /响应 报 文 的 数量 。 

例 9.2 假设 有 一 个 LAN， 每 15 分 钟 轮 询 所 有 被 管理 设备 一 次 〈 这 在 当前 的 TCP/IP 网 络 
中 是 典型 的 )， 管 理 报 文 的 处 理 时 间 是 50 ms， 网 络 延 迟 为 lms (每 个 分 组 1000 字 节 )， 没 有 产 
生 明 显 的 网 络 拥塞 ，A 大 约 是 0.202s， 则 

N< T/A=15 X 60/0.202=4500 

即 管理 站 最 多 可 支持 4500 个 设备 。 

例 9.3 在 由 多 个 子 网 组 成 的 广域网 中 ， 网 络 延 迟 更 大 ， 数 据 速率 更 小 ， 通 信 距 离 更 远 ， 
而 且 还 有 路 由 器 和 网 桥 引 入 的 延迟 ， 总 的 网 络 延 迟 可 能 达到 半 秒 钟 ，A 大 约 是 1.2s， 于 是 有 

N< T/A=15 x 60/1.2=750 


管理 站 可 支持 的 设备 最 多 为 750 个 。 
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PDU 类 型 “| 请 求 标识 | 0 o | 变量 绑 定 表 


(a) GetRequest、GetNextRequest 、SetRequest 、 InformRequest 和 Trap PDU 
PDU 关 型 | 请求 奈 识 | 错误 状态 | 错误 索引 | 变量 绑 定 才 
(b) Response PDU 
PDU 类 型 | 请 求 标识 | 非 重 复数 N| 最 大 后 继 数 M 变量 绑 定 表 
(c) GetBulkRequest PDU 
变量 名 1 | 值 1 | 变量 名 ?| 值 ? | … 人 傣 虽 名 "| 全 
(d) 变量 绑 定 表 


图 9-23 SNMPv2 PDU 格式 


GetRequest 
GetNextRequest 
SetBulkRequest 
SetRequest 


| 
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Request 


Trap 


图 9-24 管理 站 和 代理 之 间 的 通信 


SetRequest 
Manager “| 一 


| Manager 
Response 


图 9-25 管理 站 和 管理 站 之 间 的 通信 


1. GetRequestPDU 


Get 操作 用 于 检索 管理 信息 库 中 的 变量 ， 一 次 可 以 检索 多 个 变量 的 值 。 接 收 GetRequest 的 
SNMP 实体 以 请 求 标识 符 相 同 的 GetResponse 报 文 响应 。 在 SNMPv1 中 ，GetResponse 操作 具 
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有 原子 性 , 即 只 要 有 一 个 变量 的 值 检索 不 到 , 就 不 返回 任何 值 。SNMPv2 的 响应 方式 与 SNMPv1 
不 同 , SNMPv2 允许 部 分 响应 。 如 果 由 于 任何 其 他 原因 而 处 理 失败 , 则 返回 一 个 错误 状态 genErr， 
对 应 的 错误 索引 指向 有 问题 的 变量 。 如 果 生 成 的 响应 PDU 太 大 ， 超 过 了 本 地 的 或 请 求 方 的 最 
大 报 文 限 制 , 则 放弃 这 个 PDU, 构造 一 个 新 的 响应 PDU, 其 错误 状态 为 tooBig, 错误 索引 为 0， 
变量 绑 定 表 为 空 。 

改变 Get 响应 的 原子 性 是 一 个 重大 进步 。 在 SNMPv1 中 ， 如果 Get 操作 的 一 个 或 多 个 变量 
不 存在 ， 代 理 就 返回 错误 noSuchName， 剩 下 的 事情 完全 由 管理 站 处 理 : 要 么 不 向 上 层 返 回 值 ; 
要 么 去 掉 不 存在 的 变量 ， 重 发 检索 请 求 ， 然 后 向 上 层 返 回 部 分 结果 。 由 于 生成 部 分 检索 算法 的 
复杂 性 ， 很 多 管理 站 并 不 支持 这 一 功能 。 


2. GetNextRequestPDU 


GetNext 命令 检索 变量 名 指示 的 下 一 个 对 象 实例 , 用 在 对 表 对 象 的 搜索 中 。 在 SNMPv2 中 ， 
这 种 检索 请 求 的 格式 和 语义 与 SNMPv1 基本 相同 ， 唯 一 的 差别 就 是 改变 了 响应 的 原子 性 。 


3. GetBulkRequestPDU 


这 是 SNMPv2 对 原 标准 的 主要 增强 , 目的 是 以 最 少 的 交换 次 数 检索 最 大 量 的 管理 信息 。 这 
种 块 检索 操作 的 工作 过 程 是 这 样 的 : 假设 GetBulkRequestPDU 变量 绑 定 表 中 有 工 个 变量 ， 
GetBulk PDU 的 “ 非 重 复数 ”字段 的 值 为 N, 则 对 前 X 个 变量 应 各 返回 一 个 后 继 值 。 再 设 GetBulk 
PDU 的 “最 大 后 继 数 ”字段 的 值 为 M, 则 对 其 余 的 REL-N 个 变量 应 该 各 返回 最 多 M 个 后 继 值 。 
如 果 可 能 ， 总 共 返 回 N+RXM 个 值 ， 这 些 值 的 分 布 如 图 9-26 所 示 。 如 果 在 任何 一 步 查 找 过 程 
中 遇 到 不 存在 后 继 的 情况 ， 则 返回 错误 状态 endOfMibView。 


4. SetRequestPDU 


这 个 请 求 PDU 的 格式 和 语义 与 SNMPv1 的 基本 相同 ,其 语义 是 设置 或 改变 MIB 变量 的 值 ， 
其 差别 是 处 理 响应 的 方式 不 同 。SNMPv2 实体 分 两 个 阶段 处 理 这 个 请 求 的 变量 绑 定 表 ， 首 先是 
检验 操作 的 合法 性 ， 然 后 再 更 新 变量 。 如 果 至 少 有 一 个 变量 绑 定 对 的 合法 性 检验 没有 通过 ， 则 
不 进行 下 一 阶段 的 更 新 操作 。 所 以 这 个 操作 与 SNMPv1 一 样 ， 是 原子 性 的 。 如 果 没有 检查 出 错 
误 ， 就 可 以 给 所 有 指定 变量 赋予 新 值 。 若 有 至 少 一 个 赋值 操作 失败 ， 则 所 有 赋值 被 撤销 ， 并 返 
回 错误 状态 commitFailed， 错 误 索 引 指 向 问题 变量 的 序号 。 但 是 ， 若 不 能 全 部 撤销 所 赋 的 值 ， 
则 返回 错误 状态 undoFailed， 错 误 索 引 字 段 置 0。 


S，TrapPDU 


陷入 是 由 代理 发 给 管理 站 的 非 确认 性 消息 。 SNMPv2 的 陷入 采用 与 Get 等 操作 相同 的 PDU 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


在 前 两 版 中 叫做 管理 站 和 代理 的 东西 在 SNMPv3 中 统一 叫做 SNMP 实体 (SNMP entity ) 。 
实体 是 体系 结构 的 一 种 实现 , 由 一 个 或 多 个 SNMP 引擎 (SNMP engine) 和 一 个 或 者 多 个 SNMP 
应 用 CSNMP Application) 组 成 ， 图 9-27 显示 了 SNMP 实体 的 组 成 元 素 。 

SNMP 实 体 
SNMP 引擎 (由 snmpEnginell 标识 ) 
报 文 处 理 安全 访问 控制 
调度 器 子 系统 子 系统 子 系统 
应 用 程序 
命令 生成 器 | | 通知 接收 器 | | 代理 转发 器 
命令 响应 器 | | 通知 发 送 器 | | 其 他 应 用 
图 9-27 SNMP 实体 
1. SNMP 引擎 


SNMP 引擎 提供 下 列 服务 。 
(1) 发 送 和 接收 报 文 。 
(2) 认证 和 加 密 报 文 。 


(3) 控制 对 管理 对 象 的 访问 。 


SNMP 引擎 有 唯一 的 标识 sampEngineID， 由 于 SNMP 引擎 和 SNMP 实体 具有 一 一 对 应 的 
关系 ， 所 以 snmpEngineID 也 是 对 应 的 SNMP 实体 的 唯一 标识 。SNMP 引擎 具有 复杂 的 结构 ， 


它 包含 如 下 部 分 。 


(1) 一 个 调度 器 (Dispatcher)， 其 作用 是 发 送 /接收 SNMP 报 文 。 


(2) 一 个 报 文 处 理子 系统 (Message Processing Subsystem)， 其 功能 是 按照 预定 的 格式 准备 


要 发 送 的 报 文 ， 或 者 从 接收 的 报 


(3) 一 个 安全 子 系统 (Security Subsystem)， 提 供 安 全 服务 ， 例 如 报 文 的 认证 和 加 密 。 一 


文中 提取 数据 。 


个 安全 子 系统 可 以 有 多 个 安全 模块 ， 以 便 提供 各 种 不 同 的 安全 服务 。 


(4) 一 个 访问 控制 子 系统 (Access Control Subsystem)， 提 供 授 权 服 务 ， 即 确定 是 否 允 许 访 


问 一 个 管理 对 象 ， 或 者 是 否 可 以 对 某 个 管理 对 象 实施 特殊 的 管理 操作 。 


ss 


加 载 中 


请 耐心 等 待 或 者 刷新 重 试 


用 于 共享 密 钥 的 两 个 实体 之 间 ， 使 用 散 列 函数 作为 密码 ， 所 以 也 叫做 HMAC。HMAC 
可 以 结合 任何 重复 加 密 的 散 列 函数 ， 例 如 MD5 和 SHA-1。 可 见 ，HMAC-MD5-96 认 
证 协议 就 是 使 用 散 列 函数 MD5 的 报 文 认 证 协议 。 

加 密 模 块 。 防 止 报 文 内 容 的 泄露 。 数 据 的 加 密使 用 DES 算法 ， 使 用 56 位 的 密 铀 ， 按 
照 CBC (Cipher Block Chaining) 模式 对 64 位 长 的 明文 进行 蔡 代 和 替换 ， 最 后 产生 的 
密 文 也 被 分 成 64 位 的 块 。 


另外 ，SNMPv3 还 对 用 户 密 钥 进行 了 局 部 化 处 理 。 用 户 通常 使 用 可 读 的 ASCII 字符 串 作 为 


口令 字 ， 


密 钥 局 部 化 就 是 把 用 户 的 口令 字 变 换 成 他 /她 与 一 个 SNMP 引擎 共享 的 密 钥 。 虽 然 用 


户 在 整个 网 络 中 可 能 只 使 用 一 个 口令 ,但 是 通过 密 钥 局 部 化 以 后 ,用 户 与 每 一 个 SNMP 引擎 共 
享 的 密 钥 都 是 不 同 的 。 这 样 的 设计 可 以 防止 一 个 密 钥 值 的 泄露 对 其 他 SNMP 引擎 造成 危害 。 密 
钥 局 部 化 过 程 的 主要 思想 是 把 口令 字 和 相应 的 SNMP 引擎 标识 作为 输入 ， 运 行 一 个 散 列 函数 
(例如 MD5 或 SHA)， 得 到 一 个 固定 长 度 的 伪 随 机 序列 ， 作 为 加 密 密 钥 。 


4. 基于 视图 的 访问 控制 VACM) 模型 


当 一 个 SNMP 实体 处 理 检 索 或 修改 请 求 时 都 要 检查 是 否 允 许 访问 指定 的 管理 对 象 , 以 及 是 
否 允许 执行 请 求 的 操作 。 另 外 ， 当 SNMP 实体 生成 通知 报 文 时 ， 也 要 用 到 访问 控制 机 制 ， 以 决 
定 把 消息 发 送 给 谁 。 在 VACM 模型 中 要 用 到 以 下 概念 。 


SNMP 上 下 文 (context): 简称 上 下 文 ， 是 SNMP 实体 可 以 访问 的 管理 信息 的 集合 。 

一 个 管理 信息 可 以 存在 于 多 个 上 下 文中 ， 而 一 个 SNMP 实体 也 可 以 访问 多 个 上 下 文 。 
在 一 个 管理 域 中 ，SNMP 上 下 文 由 唯一 的 名 字 contextName 标识 。 

组 (group): 由 二 元 组 <securityModel，securityName> 的 集合 构成 。 属 于 同一 组 的 所 有 
安全 名 securityName 在 指定 的 安全 模型 securityModel 下 的 访问 权限 相同 。 组 的 名 字 用 
groupName 表示 。 

安全 模型 (securityModel): 表示 访问 控制 中 使 用 的 安全 模型 。 

安全 级 别 (securityLevel): 在 同一 组 中 成 员 可 以 有 不 同 的 安全 级 别 ， 即 noAuthNoPriv 
(无 认证 不 保密 )、authNoPriv (有 认证 不 保密 ) 和 authPriv (有 认证 要 保密 )。 任 何 一 
个 访问 请 求 都 有 相应 的 安全 级 别 。 

操作 (operation): 指 对 管理 信息 执行 的 操作 ， 例 如 读 、 写 和 发 送 通知 等 。 


9.5 管理 数据 库 MIB-2 


9.5.1 


被 管理 对 象 的 定义 


SNMP 环境 中 的 所 有 被 管理 对 象 组 织 成 树 型 结构 ， 如 图 9-28 和 图 9-29 所 示 。 这 种 层次 树 
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为 SNMP 的 实验 和 改进 提供 了 非常 灵活 的 管理 机 制 。 


iso(1) 


sg 


internet(1) 
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图 9-29 MIB-2 的 分 组 结构 
SNMP MIB 中 的 每 个 对 象 属于 一 定 的 对 象 类 型 ， 并 且 有 一 个 具体 的 值 。 对 象 类 型 的 定义 采 
用 ASN.1 描述 ， 对 象 实例 是 对 象 类 型 的 具体 实现 ， 只 有 实例 才 可 以 绑 定 到 特定 的 值 。 
SNMP MIB 的 宏 定 义 最 初 在 RFC1155 中 说 明 , 叫做 MIB-1。 后 来 对 RFC1212 进行 了 扩充 ， 
叫做 MIB-2。 图 9-30 是 RFC1212 中 对 象 类 型 的 定义 ， 对 其 中 关键 的 成 分 解释 如 下 。 
。 SYNTAX: 语法 子 句 说 明 被 管理 对 象 的 类 型 、 它 的 组 成 和 值 的 范围 ， 以 及 与 其 他 对 象 
的 关系 。 对 象 类 型 的 定义 是 一 种 语法 描述 ， 对 象 实例 是 对 象 类 型 的 具体 实现 ， 只 有 实 
例 才 可 以 绑 定 到 特定 的 值 。MIB 中 使 用 了 ASN.1 中 的 5 种 通用 类 型 ， 如 表 9-2 所 示 。 


是 5 医 
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的 类 型 。 如 果 一 个 对 象 被 说 明 为 可 取消 的 (deprecated)， 则 表示 当前 必须 支持 这 种 对 
象 ， 但 在 将 来 的 标准 中 可 能 被 取消 。 

。 ”DesctPart: 这 个 子 句 是 任 选 的 ， 用 文字 说 明 对 象 类 型 的 含义 。 

。 ”ReferPart: 这 个 子 句 也 是 任 选 的 ， 用 文字 说 明 可 参考 在 其 他 MIB 模块 中 定义 的 对 象 。 

。 ”IndexPart: 用 于 定义 表 对 象 的 索引 项 。 

。 ”DefValPart: 这 个 子 句 是 任 选 的 ， 定 义 了 对 和 象 实例 默认 值 。 

。 VALUE NOTATION: 指明 对 和 象 的 访问 名 。 

另外 ，RFC1155 文件 还 根据 网 络 管理 的 需要 定义 了 下 列 应 用 类 型 。 

。 ”NetworkAddress: 可 以 有 多 种 网 络 地 址 ， 但 目前 定义 的 只 有 下 地 址 。 

。 ”IpAddress: 32 位 的 他 地 址 ， 定 义 为 4 个 字 节 的 串 。 

。 ”Counter: 计数 器 类 型 是 一 个 非 负 整数 ， 其 值 可 增加 ， 但 不 能 减少 ， 达 到 最 大 值 22-_1 
后 回 0， 再 从 头 开始 增加 ， 如 图 9-31 (a) 所 示 。 计 数 器 可 用 于 计算 接收 到 的 分 组 数 或 
字 节 数 等 。 

。 Gauge: 计量 器 类 型 是 一 个 非 负 整数 ， 其 值 可 增加 ， 也 可 减少 。 计 量 器 的 最 大 值 也 是 
22 1。 与 计数 器 不 同 的 地 方 是 计量 器 达到 最 大 值 后 不 回 0， 而 是 锁定 在 22- 1， 如 图 
9-31 (b) 所 示 。 计 量 器 可 用 于 表示 存储 在 缓冲 队列 中 的 分 组 数 。 


计数 器 当前 值 计数 器 当前 值 
0 2 0 Be 
计数 器 达到 23 后 回 零 计数 器 达到 23 后 不 回 零 
(a) 计数 器 (b) 计量 器 


图 9-31 计数 器 和 计量 器 


。 TimeTicks: 时 钟 类 型 是 非 负 整 数 。 时 钟 的 单位 是 百 万 分 之 一 秒 , 可 表示 从 某 个 事件 ( 例 
如 设备 启动 ) 开始 到 目前 经 过 的 时 间 。 
。 Opaque: 不 透明 类 型 ， 即 未 知 数据 类 型 ， 可 以 表示 任意 类 型 。 这 种 数据 在 编码 时 按 字 
符 串 处 理 ， 管 理 站 和 代理 都 能 解释 这 种 类 型 。 
SNMPv2 增加 了 两 种 新 的 数据 类 型 Unsigned32 和 Counter64。Unsigned32 与 Gauge32 都 是 
32 位 的 整数 ， 但 是 在 SNMPv2 中 赋予 了 不 同 的 语义 。Counter64 与 Counter32 一 样 ， 都 表示 计 
数 器 ,只 能 增加 ,不 能 减少 。 当 增加 到 21 或 22 1 时 回 0， 从 头 再 增加 。 而 且 SNMPv2 规定 ， 
计数 器 没有 定义 的 初始 值 ， 所 以 计数 器 的 单个 值 是 没有 意义 的 ， 只 有 连续 两 次 读 计数 器 得 到 的 
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增加 值 才 是 有 意义 

SNMPv2 0 了 原来 标准 中 一 些 含糊 不 清 的 地 方 。 首先 是 在 SNMPv2 中 规定 Gauge32 
的 最 大 值 可 以 设置 为 小 于 2 的 任意 正 数 MAX， 而 在 SNMPv1 中 Gauge32 最 大 值 总 是 22_1。 
显然 ， 这 样 规定 更 细致 了 ， 使 用 更 方便 了 。 其 次 是 SNMPv2 明确 了 当 计 量 器 达到 最 大 值 时 可 自 
动 减少 。 而 在 RFC1155 中 只 是 说 计量 器 的 值 “ 锁 定 ” 在 最 大 值 ， 但 是 锁定 的 含义 并 没有 定义 ， 
人 们 总 是 在 “计量 器 达到 最 大 值 时 是 否 可 以 减少 ”的 问题 上 争论 不 休 。 


9.5.2 ”MIB-2 的 功能 组 


RFC1213 定义 了 MIB-2， 包 含 11 个 功能 组 ， 共 171 个 对 象 。 下 面 解释 主要 的 功能 组 。 
(1) 系统 组 (System group)。 提 供 了 系统 的 一 般 信息 。 表 9-3 所 示 是 系统 组 的 对 象 。 


表 9-3 系统 组 对 象 
对 象 I 功能 描述 
sysDescr (1) | DisplayString (SIZE (0.255)) | ”RO ”| 有 关 硬件 和 操作 系统 的 描述 


sysObjectID (2) 
sysUpTime (3) 


| OBJECTIDENTIFIER | RO | 系统 制造 商标 识 

| Thetieks | RO | 系统 运行 时 间 
系统 管理 人 员 描述 
sysLocation (6) 系统 的 物理 位 置 
sysServices (7) | INTEGER (0.127) | Ro | 系统 服务 


(2) Interface 组 。 接 口 组 包含 关于 主机 接口 的 配置 信息 和 统计 信息 ， 如 表 9-4 所 示 。 


sysContact (4) 
sysName (5) 


表 9-4 接口 组 对 象 
对 和 象 语 法 | 访问 方式 | 问 方式 功能 描述 
ifNumber INTEGER 网 络 接口 数 
ifTable SEQUENCE OF ifEntry 接口 表 
ifEntry SEQUENCE 接口 表 项 
ifIndex INTEGER 唯一 的 索引 
ifDescr DisplayString (SIZE (0.255)) id 息 、 制造 商 名 、 产 品名 和 
ifIype i 物理 层 和 数据 链 路 层 协议 确定 的 接 
口 类 型 
itMtu INTEGER 一 一 最 大 协议 数据 单元 大 小 (位 组 数 ) 
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对 象 语 法 功能 描述 
ifspeed Gauge | ”RO | 接口 数据 速率 
ifPhysAddress PhysAddress | ro | 接口 物理 地 址 
ifAdminStatus INTEGER 管理 状态 up (1) down (2) testing (3) 
ifOperStatus INTEGER 操作 状态 up (1) down (2) testing (3) 
ifLastChange TimeTicks RO 接口 进入 当前 状态 的 时 间 
ifInOctets Counter 接口 收 到 的 总 字 节 数 
ifInUcastPkts Counter RO 输入 的 单 点 传送 分 组 数 
ifInNUcastPkts Counter | Ro | 输入 的 组 播 分 组 数 
ifInDiscards Counter | Ro | 丢弃 的 分 组 数 
ifInErrors Counter | Ro | 接收 的 错误 分 组 数 
ifInUnknownPorotos | Counter | Ro | 未 知 协议 的 分 组 数 
ifOutOctets Counter | Ro | 通过 接口 输出 的 分 组 数 
ifOutUcastPkts Counter | Ro | 输出 的 单 点 传送 分 组 数 
ifOutNUcastPkts Counter | Ro | 输出 的 组 播 分 组 数 
ifOutDiscards Counter | Ro | 丢弃 的 分 组 数 
ifOutErrors Counter | Ro | 输出 的 错误 分 组 数 
ifOutQLen Gauge | Ro | 输出 队列 长 度 
ifSpecfic OBJECTIDENTIFIER | RO | 指向 MIB 中 专用 的 定义 


接口 组 中 的 对 象 可 用 于 故障 管理 和 性 能 管理 。 例 如 ， 可 以 通过 检查 进出 接口 的 字 节 数 或 队 
列 长 度 检测 网 络 拥塞 ， 可 以 通过 接口 状态 获知 工作 情况 ， 还 可 以 统计 出 输入 输出 的 错误 率 。 


输 


输入 错误 率 =ifInErrors/ (ifInUcastPkts+ifInNUcastPkts) 
出 错误 率 =ifOutErrors/ (ifOutUcastPktst+ifOutNUcastPkts) 


另外 ， 该 组 可 以 提供 接口 发 送 的 字 节 数 和 分 组 数 ， 这 些 数据 可 作为 计 费 的 依据 。 


(3) 地 址 转换 纪 


日 。 地 址 转换 组 包含 一 个 表 ， 该 表 的 一 行 对 应 系统 的 一 个 物理 接口 ， 表 示 网 


络 地 址 到 接口 的 物理 地 址 的 映像 关系 。MIB-2 中 地 址 转换 组 的 对 象 已 被 收编 到 各 个 网 络 协议 组 


十 


Ph， 保留 地 址 转换 组 仅仅 是 为 了 与 MIB-1 兼容 。 


(4) 全 组 . 人 P 组 提供 了 与 人 协议 有 关 的 信息 。 由 于 端 系 统 (主机) 和 中 间 系 统 〈 路 由 器 ) 
都 实现 了 P 协议 ， 而 这 两 种 系统 中 包含 的 了 P 对 象 又 不 完全 相同 ， 所 以 有 些 对 象 是 任 选 的 ， 这 取 
决 于 是 否 与 系统 有 关 。 卫 组 包含 的 对 象 如 表 9-5 所 示 。 
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表 9-5 IP 组 对 象 


对 象 语 法 访问 方式 功能 描述 
ipForwarding (1) INTEGER RW IPgateway (1), IP host (2) 
ipDefaultTTL (2) INTEGER RW 卫 头 中 的 Time To Live 字段 的 值 
ipInReceives (3) Counter RO 他 层 从 下 层 接收 的 数据 报 总 数 
ipInHdrErrors (4) Counter RO 由 于 下 头 出 错 而 丢弃 的 数据 报 
人 地 址 出 错 (无 效 地 址 、 不 支持 的 地 址 和 非 本 
ipInAddrErrors (5) Counter RO 地 主机 地 址 ) 的 数据 报 
ipForwDatagrams (6) | Counter | Ro | 已 转发 的 数据 报 
ipInUnknownProtos (7) | Counter | ”RO | 不 支持 数据 报 的 协议 ， 因 而 被 丢弃 
ipInDiscards (8) Counter | ”RO | 因 缺 乏 缓冲 资源 而 丢弃 的 数据 报 
ipInDelivers (9) Counter | ro | 由 下 层 提交 给 上 层 的 数据 报 
， 由 IP 层 交 给 下 层 需要 发 送 的 数据 报 ， 不 包 
ipOutRequests (10) Counter | 括 ipForwDatagrams 
ipOutDiscards (11) Counter | Ro | 在 输出 端 因 缺乏 缓冲 资源 而 丢弃 的 数据 报 
ipOutNoRoutes (12) Counter | Ro | 没有 到 达 目 标的 路 由 而 丢弃 的 数据 报 
ipReasmTimeout (13) | INTEGER | Ro | 数据 段 等 待 重 装配 的 最 长 时 间 ( 秒 ) 
ipReasmReqds (14) Counter | Ro | 中 需要 重 装配 的 数据 段 
ipReasmOKs (15) Counter | Ro | 成 功 重 装配 的 数据 段 
ipReasmFails (16) Counter | Ro | 不 能 重 装配 的 数据 段 
ipFragOKs (17) Counter 本 二 到 分 段 成 功 的 数据 段 
ipFragFails (18) Counter 不 能 分 段 的 数据 段 
ipFragCreates (19) Counter 产生 的 数据 报 分 段 数 
ipAddrTable (20) SEQUENCE OF 也 地 址 表 
ipRouteTable (21) SEQUENCE OF 了 P 路 由 表 
ipNetToMediaTable (22) | SEQUENCE OF 卫 地 址 转换 表 
ipRoutingDiscards (23) | Counter 0 中 由 二 色白 为 靳 让 红外 守则 轴 到 革 


(5) ICMP 组 。ICMP 是 了 P 的 伴随 协议 。 所 有 实现 四 协议 的 节点 都 必须 


实现 ICMP 协议 。 


icmp 组 包含 有 关 ICMP 实现 和 操作 的 有 关 信 息 , 它 是 各 种 接收 的 或 发 送 的 ICMP 报 文 的 计数 器 ， 


如 表 9-6 所 示 。 
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表 9-6 IP 组 对 象 


对 象 i 法 功能 描述 
icmpInMsgs (1) Counter 接收 的 icmp 报 文 总 数 〈 以 下 为 输入 报 文 ) 
icmpInErors (2) Counter 出 错 的 icmp 报 文 数 
icmpInDestUnreachs (3) Counter 目标 不 可 送 达 型 icmp 报 文 
icmpInTimeExcds (4) Counter 超时 型 icmp 报 文 


icmpInPramProbe (5) Counter 


有 参数 问题 型 icmp 报 文 


icmpInSrcQuenchs (6) Counter 


源 抑制 型 icmp 报 文 


icmpInRedirects (7) 
icmpInEchos (8) 
icmpInEchoReps (9) 


Counter 


icmpInTimestamps (10) 
icmpInTimestampReps (11) 
icmpInAddrMasks (12) 
icmpInAddrMaskReps (13) 
icmpOutMsgs (14) 
icmpOutErrors (15) 
icmpOutDestUnreachs (16) 


RO 
| ro 
EE 
EN 
EC 
| ro | 
EC 
| ro | 
| ro | 
| ro | 
| ro | 
| ro | 
| ro | 

RO 


回声 响应 型 icmp 报 文 

时 间 惟 请 求 型 icmp 报 文 

时 间 戳 响应 型 icmp 报 文 

地 址 掩 码 请 求 型 icmp 报 文 

地 址 掩 码 响应 型 icmp 报 文 

输出 的 icmp 报 文 总 数 〈 以 下 为 输出 报 文 ) 
出 错 的 icmp 报 文 数 

目标 不 可 送 达 型 icmp 报 文 


icmpOutTimeExcds (17) 超时 型 icmp 报 文 
icmpOutPramProbe (18) 有 参数 问题 型 icmp 报 文 
icmpOutSrcQuenchs (19) 源 抑制 型 icmp 报 文 
icmpOutRedirects (20) Counter 重 定向 型 iemp 报 文 
icmpOutEchos (21) Counter RO 回声 请 求 型 icmp 报 文 
icmpOutEchoReps (22) Counter RO 回声 响应 型 icmp 报 文 
icmpOutTimestamps (23) Counter RO 时 间 截 请 求 型 icmp 报 文 
icmpOutTimestampReps (24) | Counter RO 时 间 惟 响应 型 icmp 报 文 
icmpOutAddrMasks (25) Counter RO 地 址 掩 码 请 求 型 icmp 报 文 
icmpOutAddrMaskReps (26) | Counter RO 地 址 掩 码 响 应 型 icmp 报 文 


(6) TCP 组 。TCP 组 包含 与 TCP 协议 的 实现 和 操作 有 关 的 信息 ， 这 一 组 的 前 三 项 与 重 传 


有 关 。 当 一 个 TCP 实体 发 送 数据 段 后 就 等 待 应 答 ， 


并 开始 计时 。 如 果 超 时 后 没有 得 到 应 答 ， 就 


认为 数据 段 丢 失 了 ， 因 而 要 重新 发 送 。TCP 组 包含 的 对 象 如 表 9-7 所 示 。 


ss 


表 9-7 TCP 组 对 象 


对 和 象 访问 方式 功能 描述 
tcpRtoAlgorithm (1) RO 重 传 时 间 算 法 
tcpRtoMin (2) RO 重 传 时 间 最 小 值 


tcpRtoMax (3) RO 重 传 时 间 最 大 值 
tcpMaxConn (4) RO 可 建立 的 最 大 连接 数 
tcpActiveOpens (5) 主动 打开 的 连接 数 
tcpPassiveOpens (6) a 被 动 打 开 的 连接 数 
tcpAttemptFails (7) 一 一 连接 建立 失败 数 
tcpEstabResets (8) | Counter 连接 复位 数 

tcpCurEstab (9) Gauge [Game | Ro | 状态 为 established 或 closeWait 的 连接 数 
tcpInSegs (10) | comter | ”RO | 接收 的 TCP 段 总 数 
tcpOutSegs (11) | Counter | ”RO | 发 送 的 TCP 段 总 数 
tcpRetransSegs (12) [comter | Ro | 重 传 的 TCP 段 总 数 
tcpConnTable (13) 连接 表 

tcpmErmrors (14) | couter | ”RO | 接收 的 出 错 TCP 段 数 
tcpOutRests (15) ”|Counter | ”RO | 发 出 的 合 RST 标 志 的 段 数 


(7) UDP 组 。UDP 组 类 似 于 TCP 组 ， 它 包含 了 关于 UDP 数据 报 和 本 地 接收 端点 的 详细 
信息 。 
(8) EGP 组 。EGP 组 提供 了 关于 EGP 路 由 器 发 送 和 接收 的 EGP 报 文 的 信息 ， 以 及 关于 
EGP 邻居 的 详细 信息 等 。 
(9) 传输 组 。 设 置 这 一 组 的 目的 是 针对 各 种 传输 介质 提供 详细 的 管理 信息 ， 事 实 上 这 不 是 
-个 组 ， 而 是 一 个 联系 各 种 接口 专用 信息 的 特殊 节点 。 前 面 介 绍 过 的 接口 组 包含 各 种 接口 通用 
的 信息 ， 而 传输 组 则 提供 与 子 网 类 型 有 关 的 专用 信息 。 


9.5.3 SNMPv2 管理 信息 库 


SNMPv2 MIB 扩展 和 细 化 了 MIB-2 中 定义 的 管理 对 象 ， 又 增加 了 新 的 管理 对 象 。 

(1) 系统 组 。SNMPv2 的 系统 组 是 MIB-2 系统 组 的 扩展 ， 图 9-32 表示 出 这 个 组 的 管理 对 
象 。 可 以 看 出 ， 这 个 组 只 是 增加 了 与 对 象 资源 (Object Resource) 有 关 的 一 个 标量 对 象 
sysORLastChange 和 一 个 表 对 象 sysORTable， 它 仍然 属于 MIB-2 的 层次 结构 。 所 谓 对 象 资源 ， 
是 指 由 代理 实体 使 用 和 控制 的 、 可 以 由 管理 站 动态 配置 的 系统 资源 。 标量 对 象 sysORLastChange 
记录 着 对 象 资源 表 中 描述 的 对 象 实例 改变 状态 (或 值 ) 的 时 间 。 对 和 象 资源 表 是 一 个 只 读 的 表 ， 
每 一 个 可 动态 配置 的 对 象 资源 占用 一 个 表 项 。 


Te | 


System(mib-2) 


sysDescr(1) 

sysObject(2) 

sysUpTime(3) 

syscontact(4) 

sysName(5) 

sysLocation(6) 

sysService(1) 

sysORTable(9) 

sysOREntry(1) 

sysORIndcx(]) 
sysORID(2) 
sysORDescr(3) 
sysORUpTime(4) 


图 9-32 SNMPv2 系统 组 


(2) SNMP 组 。 这 个 组 是 由 MIB-2 的 对 应 组 改造 而 成 的 ， 有 些 对 象 被 删除 了 ， 同 时 又 增加 
了 一 些 新 对 象 ， 如 图 9-33 所 示 。 


是 5 | 


Snmp(mib-2 11) 


snmpInPkts (1) 传 输 层 服务 提交 给 SNMP 实 体 的 报 文 数 
snmpInBadVersions(3) 接 收 的 含有 版 本 错误 的 报 文 数 
一 一 一 snmpInBadCommunityNames (4) 接 收 的 含有 团体 名 错误 的 报 文 数 


一 一 一 snmpInBadCommunityUses (53) 含 有 不 支持 的 团体 操作 的 报 义 数 
| ”snmpInASNParseErrs(6) 含 有 ASN 译 码 错误 的 报 文 数 


一 一 snmpEnableAuthenTraps(30) 认 证 失效 陷入 工作 (1) ， 认 证 失效 陷入 不 工作 (2) 
| 一 一 一 snmpSilentDrops(31) 由 于 响应 报 文 太 长 无 法 应 答 而 丢弃 的 请 求 报 文 总 数 
一 一 一 snmpProxyDrops (32) 由 于 向 委托 代理 传送 报 文 失败 无 法 应 答 而 丢弃 的 请 求 报 文 数 


图 9-33 改进 的 SNMP 组 


(3) MIB 对 象 组 。 这 个 新 组 包含 的 对 象 与 管理 对 象 的 控制 有 关 ， 分 为 两 个 子 组 ， 如 图 9-34 
所 示 。 第 一 个 子 组 snmpTrap 由 两 个 对 象 组 成 。 


snmpMIBObjects (snmpMIB 1) 
snmpTrap(4) 
snmpTrapOID (1) 
snmpTrapEnterprise (2) 
snmpSet(6) 
snmpSerialNo(1) 
图 9-34 SNMP MIB 对 象 组 


。 snmpTrapOID: 这 是 正在 发 送 的 陷入 或 通知 的 对 象 标识 符 ， 这 个 变量 出 现在 陷入 PDU 
或 通知 请 求 PDU 的 变量 绑 定 表 中 的 第 二 项 。 

。 snmpTrapEnterprise: 这 是 与 正在 发 送 的 陷入 有 关 的 制造 商 的 对 象 标识 符 ， 当 SNMPv2 
的 委托 代理 把 一 个 RFC1157 陷入 PDU 映像 到 SNMPv2 陷入 PDU 时 ， 这 个 变量 出 现 
在 变量 绑 定 表 的 最 后 。 

第 二 个 子 组 snmpSet 仅 有 一 个 对 象 snmpSerialNo， 这 个 对 象 用 于 解决 set 操作 中 可 能 出 现 
的 两 个 问题 。 

@ 一 个 管理 站 可 能 向 同一 MIB 对 象 发 送 多 个 set 操作 ， 保 证 这 些 操作 按照 发 送 的 顺序 在 
MIB 中 执行 是 必要 的 ， 即 使 在 传送 过 程 中 次 序 发 生 了 错乱 也 是 这 样 。 

@) 多 个 管理 站 对 MIB 的 并 发 操作 可 能 破坏 了 数据 库 的 一 致 性 和 精确 性 。 

(4) 接口 组 。MIB-2 定义 的 接口 组 经 过 一 段 时 间 的 使 用 ， 发 现 有 很 多 缺陷 。RFC1573 分 析 
了 原来 的 接口 组 没有 提供 的 功能 和 其 他 不 足 之 处 。 

G@ 接口 编号 。MIB-2 接口 组 定义 变量 itNumber 作为 接口 编号 ， 而 且 是 常数 ， 这 对 于 人 允许 
动态 增加 /删除 网 络 接口 的 协议 〈 例 如 SLIPIPPP) 是 不 合适 的 。 

@) 接口 子 层 。 有 时 需要 区 分 网 络 层 下 面 的 各 个 子 层 ， 而 MIB-2 没有 提供 这 个 功能 。 

@ 虚 电 路 问题 。 对 应 一 个 网 络 接口 可 能 有 多 个 虚 电路 。 

@ 不 同 传输 特性 的 接口 。MIB-2 接口 表 记 录 的 内 容 只 适合 基于 分 组 传输 的 协议 ， 不 适合 
面向 字符 的 协议 (例如 PPP，EIA RS-232)， 也 不 适合 面向 位 的 协议 〈 例 如 DS1) 和 固定 信息 长 
度 传输 的 协议 (例如 ATM)。 

@ 计数 长 度 。 当 网 络 速度 增加 时 ，32 位 的 计数 器 经 常 溢出 回 0。 
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@ 接口 速度 。ifSpeed 最 大 为 〈22 1) bps， 但 是 现在 有 的 网 络 速度 已 远 远 超 过 这 个 限制 ， 
例如 SONET OC-48 为 2.448Gbps。 

@ 组 播 /广播 分 组 计数 。MIB-2 接口 组 不 区 分 组 播 分 组 和 广播 分 组 ， 但 分 别 计数 有 时 是 有 
用 的 。 

接口 类 型 。ifType 表示 接口 类 型 ，MIB-2 定义 的 接口 类 型 不 能 动态 增加 ， 只 能 在 推出 新 
的 MIB 版 本 时 再 增加 ， 而 这 个 过 程 一 般 需 要 几 年 时 间 。 

@ ifSpecific 问题 。MIB-2 对 这 个 变量 的 定义 很 含糊 。 有 的 实现 给 这 个 变量 赋予 介质 专用 
的 MIB 的 对 象 标识 符 ， 而 有 的 实现 赋予 介质 专用 表 的 对 象 标识 符 , 或 者 是 这 种 表 的 入 口 对 象 标 
识 符 ， 甚 至 是 表 的 索引 对 象 标识 符 。 

根据 以 上 分 析 ，RFC1573 对 MIB-2 接口 组 做 了 一 些小 的 修改 ， 纠 正 了 上 面 提 到 的 问题 。 
例如 ， 重 新 规定 ifIindex 不 再 代表 一 个 接口 ， 而 是 用 于 区 分 接口 子 层 ， 而 且 不 再 限制 ifIndex 的 
取 值 必须 在 1~ifNumber 之 间 。 这 样 对 应 一 个 物理 接口 可 以 有 多 个 代表 不 同 逻 辑 子 层 的 表 行 ， 
还 允许 动态 地 增加 /删除 网 络 接口 。RFC1573 废除 了 有 些 用 处 不 大 的 变量 ， 例 如 ifInNUcastPkts 
和 ifOutNUPkts, 它们 的 作用 已 经 被 接口 扩展 表 中 的 新 变量 代替 。 由 于 变量 ifOutQLen 在 实际 中 
很 少 实现 ， 也 被 废除 了 。 变 量 ifSpecific 由 于 前 述 原因 也 被 废除 了 ， 它 的 作用 已 被 ifType 代替 。 
同时 把 ifIype 的 语法 改变 为 IANAifType, 而 这 种 类 型 可 以 由 Internet 编码 机 构 (Internet Assigned 
Number Authorty) 随时 更 新 ， 从 而 不 受 MIB 版 本 的 限制 。 


9.6 RMON 


9.6.1 ”RMON 的 基本 概念 


通常 用 于 监视 整个 网 络 通信 情况 的 设备 叫做 网 络 监视 器 (Monitor) 或 网 络 分 析 器 
(Analyzer)、 探 测 器 〈Probe) 等 。 监 视 器 观察 LAN 上 出 现 的 每 个 分 组 ， 并 进行 统计 和 总 结 ， 
给 管理 人 员 提 供 重要 的 管理 信息 。 监 视 器 还 能 存储 部 分 分 组 ， 供 以 后 分 析 用 。 监 视 器 也 根据 分 
组 类 型 进行 过 滤 并 捕获 特殊 的 分 组 。 通 常 是 每 个 子 网 配置 一 个 监视 器 , 并 且 与 中 央 管 理 站 通信 ， 
因此 叫做 远程 监视 器 ， 如 图 9-35 所 示 。 图 中 监视 器 可 以 是 一 个 独立 设备 ， 也 可 以 是 运行 监视 器 
软件 的 工作 站 或 服务 器 等 。 中 央 管 理 站 具有 RMON 管理 能 力 ， 能 够 与 各 个 监视 器 交换 管理 信 
息 。RMON 监视 器 或 探测 器 (RMON Probe) 实现 RMON 管理 信息 库 (RMON MIB)。 这 种 系 
统 与 通常 的 SNMP 代理 一 样 包含 一 般 的 MIB， 另 外 还 有 一 个 探测 器 进程 ， 提 供与 RMON 有 关 
的 功能 .探测 器 进程 能 够 读 写 本 地 的 RMON 数 据 库 , 并 响应 管理 站 的 查询 请 求 .所 以 也 把 RMON 
探测 器 称 为 RMON 代理 。 
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RMON Probe 


RMON Probe 
口 口 


RMON Probe 


图 9-35 远程 网 络 监视 的 配置 


RMON 定义 了 远程 网 络 监视 的 管理 信息 库 ， 以 及 SNMP 管理 站 与 远程 监视 器 之 间 的 接口 。 
一 般 地 说 ，RMON 的 目标 就 是 监视 子 网 范围 内 的 通信 ， 从 而 减少 管理 站 和 被 管理 系统 之 间 的 通 
信和 负担 。 更 具体 地 说 ，RMON 有 下 列 目 标 。 

(1) 离线 操作 。 必 要 时 管理 站 可 以 停止 对 监视 器 的 轮 询 ， 有 限 的 轮 询 可 以 节省 网 络 带宽 和 
通信 费用 。 

(2) 主动 监视 。 如 果 监 视 器 有 足够 的 资源 ， 通 信和 负载 也 容许 ， 监 视 器 可 以 连续 地 或 周期 地 
运行 诊断 程序 ， 收 集 并 记录 网 络 性 能 参数 。 

(3) 问题 检测 和 报告 。 如 果 主 动 监 视 消 耗 网 络 资源 太 多 ， 监 视 器 也 可 以 被 动 地 获取 网 络 
数据 。 

(4) 提供 增值 数据 。 监 控 器 可 以 分 析 收集 到 的 子 网 数据 ， 从 而 减轻 了 管理 站 的 计算 任务 。 

(5) 多 管理 站 操作 。 一 个 因特网 可 能 有 多 个 管理 站 ， 这 样 可 以 提高 可 靠 性 ， 或 者 分 布地 实 
现 各 种 不 同 的 管理 功能 。 


9.6.2 RMON 的 管理 信息 库 


RMON 规范 定义 了 管理 信息 库 RMON MIB, 它 是 MIB-2 下 面 的 第 16 个 子 树 。RMON MIB 
分 为 10 组 ， 如 图 9-36 所 示 。 存 储 在 每 一 组 中 的 信息 都 是 监视 器 从 一 个 或 几 个 子 网 中 统计 和 收 
集 的 数据 。 这 10 个 功能 组 都 是 任 选 的 ， 但 实现 时 有 下 列 联 带 关系 。 

(1) 实现 警报 组 时 必须 实现 事件 组 ， 警 报 就 是 对 某 种 网 络 事件 的 警告 。 

(2) 实现 最 高 台 主 机 组 时 必须 实现 主机 组 ， 因 为 最 高 N 台 主 机 组 是 从 主机 组 中 提取 出 
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rmon (mib-2 10) 


statistics(1) 以 太子 网 的 统计 信息 
history(2) 子 网 的 周期 性 统计 信息 
alarmG) 用 于 定义 取样 间隔 和 报警 门限 


[host(4) 关 于 一 个 主机 的 通信 统计 数据 
hostTopN(5) 某 种 参数 最 大 的 N 台 主机 的 统计 数据 
一 一 一 matrix(6) 一 对 地 址 之 间 的 通信 统计 数据 


fitter(7) 对 分 组 进行 过 滤 的 信息 
capture(8) 捕 获 特 殊 分 组 的 信息 
event(9) 定 义 网 络 事件 的 信息 


tokenRing(10) 关 于 令 牌 环 网 的 配置 和 统计 信息 


图 9-36 RMON MIB 子 树 


(3) 实现 捕获 组 时 必须 实现 过 滤 组 ， 经 过 过 滤 的 分 组 可 以 被 捕获 。 
9.6.3 ”RMON2 的 管理 信息 库 rmon (mib-2 16) 


protocolDir(11) 


RMON2 监视 OSIRM 第 3 一 7 层 的 通信 ， 能 对 
数据 链 路 层 以 上 的 分 组 进行 译 码 。 这 使 得 监视 器 可 以 
管理 包括 卫 协议 等 网 络 层 协议 ， 因 而 能 了 解 分 组 的 
源 和 目标 地 址 , 能 知道 路 由 器 负载 的 来 源 , 使 得 监视 
的 范围 扩大 到 局 域 网 之 外 。 监 视 器 也 能 监视 应 用 层 协 
议 , 例如 电子 邮件 协议 、 文件 传 输 协议 和 HTTP 协议 
等 , 这 样 监视 器 就 可 以 记录 主机 应 用 活动 的 数据 , 可 
以 显示 各 种 应 用 活动 的 图 表 。 这 些 对 网 络 管理 人 员 都 
是 很 重要 的 信息 。 另 外 , 在 网 络 管理 标准 中 , 通常 把 
网 络 层 之 上 的 协议 都 叫做 应 用 层 协议 , 以 后 提 到 的 应 
用 层 包 含 OSI 的 5S，6，7 层 。 

RMON2 扩充 了 原来 的 RMON MIB， 增 加 了 9 
个 新 的 功能 组 ， 如 图 9-37 所 示 。 
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protocolDist(12) 


addressMap(13) 
上 -一 nlHost(14) 


nlMatrix(15) 


alHost(16) 
alMatrix(17) 
-一 一 一 usrHistory(18) 


LprobeConfig(19) 


图 9-37 RMON2 MIB 


9.7 ”网络 诊断 和 配置 命令 


Windows 提供 了 一 组 实用 程序 来 实现 简单 的 网 络 配置 和 管理 功能 ， 这 些 实用 程序 通常 以 
DOS 命令 的 形式 出 现 。 用 键盘 命令 来 显示 和 改变 网 络 配置 ， 感 觉 就 像 直 接 操控 硬件 一 样 ， 不 但 
操作 简单 方便 ， 而 且 效果 立即 显现 ;不 但 能 详细 了 解 网 络 的 配置 参数 ， 而 且 提高 了 网 络 管理 的 
效率 。 所 以 掌握 常用 的 网 络 管理 命令 是 网 络 管理 人 员 的 基本 技能 ， 必 须 坚持 使 用 ， 才 能 驾 轻 
就 熟 。 

Windows 的 网 络 管理 命令 通常 以 exe 文件 的 形式 存储 在 system32 目录 中 ,在 “开始 ”菜单 
中 运行 命令 解释 程序 Cmd.exe 就 进入 DOS 命令 窗口 ， 可 以 执行 任何 实用 程序 。 下 面 的 一 些 例 
子 都 是 在 DOS 窗口 中 截图 的 。 


9.7.1 lpconfig 


Jpconfig 命令 相当 于 Windows 9x 中 的 图 形 化 命令 Winipcfg， 是 最 常用 的 Windows 实用 程 
序 ， 可 以 显示 所 有 网 卡 的 TCP/P 配置 参数 ， 可 以 刷新 动态 主机 配置 协议 (DHCP) 和 域名 系统 
的 设置 。Ipconfig 的 语法 如 下 : 


ipconfig [/all] [/renew[Adapter]] [/release[Adapter]] [/flushdns] [/displaydns] [registerdns] [/showclassid 
Adapter] [/setclassid Adapter [ClassID]] 


对 以 上 命令 参数 解释 如 下 : 


. 有 
显示 帮助 信息 ， 对 本 章 中 其 他 命令 有 同样 作用 。 
e。 /all 


显示 所 有 网 卡 的 TCP/IP 配置 信息 。 如 果 没 有 该 参数 ， 则 只 显示 各 个 网 卡 的 瑟 地 址 、 子 网 
扒 码 和 默认 网 关 地 址 。 

e /renew [Adapter] 

更 新 网 卡 的 DHCP 配置 ， 如 果 使 用 标识 符 4dapter 说 明了 网 卡 的 名 字 ， 则 只 更 新 指定 网 卡 
的 配置 ， 否则 就 更 新 所 有 网 卡 的 配置 。 这 个 参数 只 能 用 于 动态 配置 P 的 计算 机 。 使 用 不 带 参 数 
的 ipconfig 命令 ， 可 以 列 出 所 有 网 卡 的 名 字 。 

® /release[Adapter] 

向 DHCP 服务 器 发 送 DHCP Release 请 求 ， 释 放 网 卡 的 DHCP 配置 参数 和 当前 使 用 的 他 
地 址 。 

. /flushdns 

刷新 客户 端 DNS 缓存 的 内 容 。 在 DNS 排 错 期 间 ， 可 以 使 用 这 个 命令 丢弃 负 缓存 项 以 及 其 
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他 动态 添加 的 缓存 项 。 

e /displaydns 

显示 客户 端 DNS 缓存 的 内 容 ， 该 缓存 中 包含 从 本 地 主机 文件 中 添加 的 预 装载 项 ， 以 及 最 
近 通 过 名 字 解 析 查询 得 到 的 资源 记录 。 DNS 客户 端 服务 使 用 这 些 信 息 快速 处 理 经 常 出 现 的 名 字 
查询 。 

eregisterdns 

刷新 所 有 DHCP 租约 ， 重 新 注册 DNS 名 字 。 在 不 重启 计算 机 的 情况 下 ， 可 以 利用 这 个 参 


数 来 排除 DNS 名 字 注 册 中 的 故障 ， 解 决 客户 端 和 
DNS 服务 器 之 间 的 手工 动态 更 新 间 题 。 可 以 利用 
“高 级 TCP/IP 设置 ”来 注册 本 地 连接 的 DNS 后 绥 ， 
如 图 9-38 所 示 。 

® /showclassid Adapter 

显示 网 卡 的 DHCP 类 别 ID。 利 用 通配符 “*” 
代替 标识 符 Adapter， 可 以 显示 所 有 网 卡 的 DHCP 
类 别 ID。 这 个 参数 仅 适 用 于 自动 配置 卫 地 址 的 计 


高 级 TCPJIP 设置 
Ez | 


DRS 服务 器 地 址 ( 控 使 用 刁 序 排列 ) QD 


[EZ TO 而 际 
和 TCP/IP 的 连接 。 要 解析 不 合格 的 
回 附加 主要 的 和 连 接 煌 定 的 DRS 后 娃 中) 

名 附加 主 DRS 后 如 的 父 后 如 &) 
口 附加 这 些 DNS 后 娃 控 顺 序 ) QD ; 


算 机 。 可 以 根据 某 种 标准 把 DHCP 客户 端 划分 成 不 习 
同 的 类 别 ， 以 便于 管理 。 例 如 ， 移 动 客户 划分 到 租 | 
约 期 较 短 的 类 ， 固 定 客户 划分 到 租约 期 较 长 的 类 。 At nm 报 加 :Fa 

® /setclassid Adapter[ClassID] Es a 人 a 二 

对 指定 的 网 卡 设置 DHCP 类 别 ID.。 如 果 未 指定 i -本 - 


DHCP 类 别 ID， 则 会 删除 当前 的 类 别 ID。 

如 果 Adapter 名 称 包 含 空格 ， 则 要 在 名 称 两 边 图 9-38 高 级 TCP/IP 设置 
使 用 引号 〈 即 "Adapter 名 称 ")。 网 卡 名 称 中 可 以 使 用 通配符 星 号 “*” 例如 ，Local* 可 以 代表 
所 有 以 字符 串 Local 开头 的 网 卡 ， 而 *Con* 可 以 表示 所 有 包含 字符 串 Con 的 网 卡 。 

ipconfig 命令 最 适合 于 自动 分 配 他 地 址 的 计算 机 , 使 用 户 可 以 明确 区 分 DHCP 或 自动 专用 
IP 地址 (APIPA) 配置 的 参数 。 

举例 如 下 。 

(1) 如 果 要 显示 所 有 网 卡 的 基本 TCP/IP 配置 参数 ， 输 入 : 


ipconfig 
(2) 如 果 要 显示 所 有 网 卡 的 完整 TCP/P 配置 参数 ， 输 入 : 
ipconfig /all 
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(3) 如 果 仅 更 新 本 地 连接 的 网 卡 由 DHCP 分 配 的 卫 地 址 ， 输 入 : 

ipconfig /renew "Local Area Connection" 

(4) 在 排除 DNS 名 称 解 析 故 障 时 ， 如 果 要 刷新 DNS 解析 器 缓存 ， 输 入 : 
ipconfig /flushdns 

(5) 如 果 要 显示 名 称 以 Local 开头 的 所 有 网 卡 的 DHCP 类 别 DD， 输 入 : 
ipconfig /showclassid Local* 

(6) 如 果 要 将 “本 地 连接 ”网 卡 的 DHCP 类别 ID 设置 为 TEST， 输 入 : 
ipconfig /setclassid "Local Area Connection" TEST 


图 9-39 是 用 ipconfig/all 命令 显示 的 网 络 配置 参数 ， 其 中 列 出 了 主机 名 、 网 卡 物理 地 址 和 
DHCP 租约 期 由 DHCP 分 配 的 王 地 址 、 子 网 掩 码 、 默 认 网 和 DNS 服务 器 的 卫 地址 等 配置 
参数 。 图 9-40 是 利用 参数 showclassid 显示 的 “本 地 连接 ”的 类 别 标识 。 
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BOOTP 
BOOTP 容 


图 9-40 ipconfig/showclassid 命令 显示 的 结果 
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9.7.2 Ping 


Ping 命令 通过 发 送 ICMP 回声 请 求 报 文 来 检验 与 另外 一 个 计算 机 的 连接 。 这 是 一 个 用 于 排 


除 连接 故障 的 测试 命令 ， 如 果 不 带 参数 则 显示 帮助 信息 。Ping 命令 的 语法 如 下 : 


ping [-t] [-a] [-n Cowunt] [-1 Size] [-f] [-i TI7Z] [-v TOS] [-r Count] [-s Count] [全 HostList | -k HostList}] 
[-w Timeout] [TargetName] 


统计 信息 。 


对 以 上 命令 参数 解释 如 下 。 

e 

持续 发 送 回声 请 求 直 至 输入 Cal+Break 或 Ctrl+C 被 中 断 , 前 者 显示 统计 信息 , 后 者 不 显示 
bd -a 


用 下 地 址 表示 目标 ， 进 行 反 向 名 字 解 析 ， 如 果 命 令 执 行 成 功 ， 则 显示 对 应 的 主机 名 。 
® -nCount 


说 明 发 送 回声 请 求 的 次 数 ， 默 认为 4 次 。 


最 大 为 255。 


4 之 间 。 


ST 默认 是 32， 最 大 为 65 527。 

二 设置 不 分 段 标 志 ， 用 于 测试 通路 上 传输 的 最 大 报 文 长 度 。 

eh TIL 字段 的 值 , 通常 取 主 机 的 TIL 值 , 对 于 Windows XP 主机 , 这 个 值 是 128， 
® -v1iOS 


说 明了 卫 头 中 TOS (Type of Service) 字段 的 值 ， 默 认 是 0。 

® -ITCo1t 

在 下 头 中 添加 路 由 记录 选项 ，Count 表示 源 和 目标 之 间 的 跃 点 数 ， 其 值 在 1 一 9 之 间 。 
e -SsCount 


在 卫 头 中 添加 时 间 戳 (timestamp ) 选项 , 用 于 记录 达到 每 一 跃 点 的 时 间 , Count 的 值 在 1 一 


e -HostList 
在 卫 头 中 使 用 松散 源 路 由 选项 ，HostList 指明 中 间 节 点 〈 路 由 器 ) 的 地 址 或 名 字 ， 最 多 9 


个 ， 用 空格 分 开 。 


®。  -kHostList 
在 四 头 中 使 用 严格 源 路 由 选项 ，HostList 指明 中 间 节 点 (路 由 器 ) 的 地 址 或 名 字 ， 最 多 9 


ss 


个 ， 用 空格 分 开 。 

® -Ww Timeout 

指明 等 待 回声 响应 的 时 间 (ps)， 如 果 响 应 超时 ， 则 显示 出 错 信息 Request timed out， 默 认 
超时 间隔 为 4s。 

® TargetName 

用 下 地 址 或 主机 名 表示 目标 设备 。 

使 用 Ping 命令 必须 安装 并 运行 TCP/IP 协议 。 可 以 使 用 中 地址 或 主机 名 来 表示 目标 设备 。 
如 果 ping 一 个 中 地址 成 功 ， 而 ping 对 应 的 主机 名 失败 ， 则 可 以 断定 名 字 解 析 有 问题 。 无 论 名 
字 解 析 是 通过 DNS、NetBIOS， 还 是 通过 本 地 主机 文件 ， 都 可 以 用 这 个 方法 进行 故障 诊断 。 

举例 如 下 。 

(1) 如 果 要 测试 目标 10.0.99.221 并 进行 名 字 解 析 ， 则 输入 : 


ping -a 10.0.99.221 


(2) 如 果 要 测试 目标 10.0.99.221， 发 送 10 次 请 求 ， 每 个 响应 为 1000 字 节 ， 则 输入 : 
ping -n 10 -1 1000 10.0.99.221 
(3) 如 果 要 测试 目标 10.0.99.221， 并 记录 4 个 跃 点 的 路 由 ， 则 输入 : 


ping -r 4 10.0.99.221 


(4) 如 果 要 测试 目标 10.0.99.221， 并 说 明 松散 源 路 由 ， 则 输入 : 
ping -j 10.12.0.1 10.29.3.1 10.1.44.1 10.0.99.221 


图 9-41 所 示 为 ping www.163.com.cn 的 结果 。 


图 9-41 ping 命令 的 显示 结果 


Armp 命令 用 于 显示 和 修改 地 址 解析 协议 缓存 表 的 内 容 ， 缓 存 表 项 是 卫 地 址 与 网 卡 地 址 对 。 
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计算 机 上 安装 的 每 个 网 卡 各 有 一 个 缓存 表 。 如 果 使 用 不 含 参数 的 arp 命令 ， 则 显示 帮助 信息 。 
Arp 命令 的 语法 如 下 : 


arp [-a [InetAddr] [-N JaceAddr]] [-g [InetAddr] [-N YaceAddr]] [-d InetAddr [JfaceAddr]] [-s InetAddr 
EtherAddr [lfaceAddr]] 


对 以 上 命令 参数 解释 如 下 。 

® -a[metdadadr] [-N aceAdar] 

显示 所 有 接口 的 ARP 缓存 表 。 如 果 要 显示 特定 IP 地 址 的 ARP 表 项 ， 则 使 用 参数 
InetAddr; 如 果 要 显示 指定 接口 的 ARP 缓存 表 ， 则 使 用 参数 -N IfaceAddr。 这 里 ，N 必须 大 
写 。InetAddr 和 IfaceAddr 都 是 卫 地 址 。 

e -gl[Inetdaar] [-N faceAdar] 

与 参数 -a 相同 。 

® -dj1petdaddj [ JaceAddr | 

删除 由 InetAddr 指示 的 ARP 缓存 表 项 。 要 删除 特定 接口 的 ARP 缓存 表 项 ， 使 用 参数 
IfaceAddr 指明 接口 的 人 P 地 址 。 要 删除 所 有 ARP 缓存 表 项 ， 使 用 通配符 “* ”代替 参数 
InetAddr。 

e -sfInetAddr EtherAddr [ JfaceAddr] 

添加 一 个 静态 的 ARP 表 项 ， 把 人 P 地 址 InetAddr 解析 为 物理 地 址 EtherAddr。 参 数 
IfaceAddr 指定 了 接口 的 也 地址 。 

卫 地址 InetAddr 和 IfaceAddr 用 点 分 十 进 制 表 示 。 物 理 地 址 EtherAddr 由 6 个 字 节 组 成 ， 
每 个 字 节 用 两 个 十 六 进 制 数 表示 ， 字 节 之 间 用 连 字 符 “-” 分 开 ， 例 如 00-AA-00-4F-2A-9C。 

用 参数 -s 添加 的 ARP 表 项 是 静态 的 , 不 会 由 于 超时 而 被 删除 。 如果 TCP/IP 协议 停止 运行 ， 
ARP 表 项 都 被 删除 。 为 了 生成 一 个 固定 的 静态 表 项 ， 可 以 在 批文 件 中 加 入 适当 的 ARP 命令 ， 
并 在 机 器 启动 时 运行 批文 件 。 


举例 如 下 。 
(1) 要 显示 ARP 缓存 表 的 内 容 ， 输 入 : 
alp -a 


(2) 要 显示 卫 地 址 为 10.0.0.99 的 接口 的 ARP 缓存 表 ， 输 入 : 
ap -a-N 10.0.0.99 


(3) 要 添加 一 个 静态 表 项 ， 把 IP 地 址 10.0.0.80 解析 为 物理 地 址 00-AA-00-4F-2A-9C， 则 
输入 : 


arp -s 10.0.0.80 00-AA-00-4F-2A-9C 


0 


图 9-42 所 示 为 使 用 amp 命令 添加 一 个 静态 发 表 项 的 例子 。 


Type 
dynanic 


s and Setting 


8 dynanic 
199.199 f 3 dynanic 
static 


图 9-42 使 用 arp 命令 的 例 


9.7.4 Netstat 


Netstat 命令 用 于 显示 TCP 连接 、 计 算 机 正在 监听 的 端口 、 以 太 网 统计 信息 、 卫 路 由 表 、 
IPv4 统计 信息 (包括 全 、ICMP、TCP 和 UDP 等 协议 ) 和 IPv6 统计 信息 (包括 IPv6、ICMPv6、 
TCP over IPv6 和 UDP over IPv6 等 协议 ) 等 。 如 果 不 使 用 参数 , 则 显示 活动 的 TCP 连接 。Netstat 
命令 的 语法 如 下 : 


netstat [-a] [-e] [-n] [-o] [-p Protocoll [-r] [-s] [nterval] 


对 以 上 参数 解释 如 下 。 


. = 
显示 所 有 活动 的 TCP 连接 ， 以 及 正在 监听 的 TCP 和 UDP 端口 。 
. -© 


显示 以 太 网 统计 信息 ， 例 如 发 送 和 接收 的 字 节 数 ， 以 及 出 错 的 次 数 等 。 这 个 参数 可 以 与 -s 
参数 联合 使 用 。 


。 -nh 
显示 活动 的 TCP 连接， 地址 和 端口 号 以 数字 形式 表示 。 
® -0 


显示 活动 的 TCP 连接 以 及 每 个 连接 对 应 的 进程 DD。 在 Windows 任务 管理 器 中 可 以 找到 与 
进程 ID 对 应 的 应 用 。 这 个 参数 可 以 与 -a、-n 和 -p 联合 使 用 。 

e -ppProtocol 

用 标识 符 Protocol 指定 要 显示 的 协议 ， 可 以 是 TCP、UDP、TCPv6 或 者 UDPv6。 如 果 与 参 
数 -s 联合 使 用 ， 则 可 以 显示 协议 TCP、UDP、ICMP、IP、TCPvV6、UDPv6、ICMPvV6 或 IPv6 的 
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显示 下 路 由 表 的 内 容 ， 其 作用 等 价 于 路 由 打印 命令 route print。 


-Ss 


显示 每 个 协议 的 统计 数据 。 默 认 情况 下 ， 统 计 TCP、UDP、ICMP 和 卫 协议 发 送 及 接收 
的 数据 包 、 出 错 的 数据 包 、 连 接 成 功 或 失败 的 次 数 等 。 如 果 与 -p 参数 联合 使 用 ， 可 以 指定 要 显 
示 统 计数 据 的 协议 。 


Interval 


说 明 重 新 显示 信息 的 时 间 间 隔 ， 输 入 CtrHtC 则 停止 显示 。 如 果 不 使 用 这 个 参数 ， 则 只 显示 


一 次 。 


Netstat 显示 的 统计 信息 分 为 4 栏 或 5 栏 ， 解 释 如 下 。 


Proto: 表示 协议 的 名 字 〈 例 如 TCP 或 UDP)。 

Local Address: 本 地 计算 机 的 地 址 和 端口 。 通 常 显 示 本 地 计算 机 的 名 字 和 端口 名 字 ( 例 
如 ftp)， 如 果 使 用 了 -n 参数 ， 则 显示 本 地 计算 机 的 下 地 址 和 端口 号 。 如 果 端 口 尚 未 建 
立 ， 则 用 “*” 表 示 。 

Foreign Address: 远程 计算 机 的 地 址 和 端口 。 通 常 显示 远程 计算 机 的 名 字 和 端口 名 字 
(例如 ftp)， 如 果 使 用 了 -n 参数 ， 则 显示 远程 计算 机 的 人 P 地 址 和 端口 号 。 如 果 端 口 尚 
未 建立 ， 则 用 “*” 表 示 。 

State: 表示 TCP 连接 的 状态 ， 用 下 面 的 状态 名 字 表示 。 

4 CLOSE WAIT: 收 到 对 方 的 连接 释放 请 求 。 

4 CLOSED: 连接 已 关闭 。 

4 ESTABLISHED: 连接 已 建立 。 

4 FIN_WAIT 1: 已 发 出 连接 释放 请 求 。 

4 FIN_WAIT 2: 等待 对 方 的 连接 释放 请 求 。 

4 LAST ACK: 等 待 对 方 的 连接 释放 应 答 。 

4 LISTEN: 正在 监听 端口 。 

4 SYN RECEIVED: 收 到 对 方 的 连接 建立 请 求 。 

4 SYN SEND: 已 主动 发 出 连接 建立 请 求 。 

4 TIMED_WAIT: 等 待 一 段 时 间 后 将 释放 连接 。 


举例 如 下 。 


C1y 


要 显示 以 太 网 的 统计 信息 和 所 有 协议 的 统计 信息 ， 则 输入 : 


netstat -e -S 


i 


(2) 要 显示 TCP 


netstat -s -p tcp udp 


(3) 要 显示 TCP 连接 及 其 对 应 的 进程 ID， 每 4s 显示 


nbtstat -0 4 


(4) 要 以 数字 形式 显示 TCP ji 


nbtstat -n -0 


图 9-43 是 命令 netstat -o 4 显示 的 统计 信息 ， 每 4s 显示 


Active 


Proto 
ICP 


和 UDP 协议 的 统计 信息 ， 则 输入 : 


d Settings\Adninistrator netstat 


nections 


Proto L 


-11.159.288:http 


Proto Local fddm Foreign fad 
ICP x4ep512m ap:1173 121.11.159. 


Rctive Connections 


Proto Local fAddm Foreign 
TCP 
TCP x4ep51 


TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 


9.7.5 Tracert 


Tracert 命令 的 功 
通过 多 次 向 目标 发 送 


法 如 下 : 


de 


x4ep512 


«4ep5 


欠 ， 则 输入 : 


-次 ， 


连接 及 其 对 应 的 进程 DD， 则 输入 : 


-次 ， 


ate 


SYN_SENT 


图 9-43 ”命令 netstat -o 4 显示 的 统计 信息 


能 是 确定 到 达 目 标的 路 径 ， 并 显示 通路 上 每 一 个 中 间 路 
ICMP 回声 〈echo) 请 求 报 文 ， 每 次 增加 卫 头 中 TIL 字段 的 值 ， 
We 各 个 路 由 器 的 时 间 。 显 示 的 地 址 是 路 由 器 接近 源 这 


- 边 的 端口 地 址 。Tracert 命令 的 语 


PID 
3996 
3896 
3996 
3996 
3996 
3996 
3896 
3996 
3096 


直到 输入 CtrltC 结束 。 


由 器 的 人 P 地 址 。 


就 可 以 
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tracert [-d] [-h MaximumHops] [-] HostList] [-w Timeout] [TargetName] 


对 以 上 参数 解释 如 下 。 

。 -d 

不 进行 名 字 解 析 ， 显 示 中 间 节 点 的 卫 地 址 ， 这 样 可 以 加 快 跟踪 的 速度 。 

。  -hMaximumHops 

说 明 地 址 搜索 的 最 大 跃 点 数 ， 默 认 值 是 30 跳 。 

®。 -HostList 

说 明 发 送 回声 请 求 报 文 要 使 用 IP 头 中 的 松散 源 路 由 选项 ， 标 识 符 HostList 列 出 必须 经 过 
的 中 间 节 点 的 地 址 或 名 字 ， 最 多 可 以 列 出 9 个 中 间 节 点 ， 各 个 中 间 节 点 用 空格 隔 开 。 

® -Ww Timeout 

说 明了 等 待 ICMP 回声 响应 报 文 的 时 间 (ps)， 如 果 接收 超时 ， 则 显示 星 号 “*” 默认 超 
时 间隔 是 4s。 

® TargetName 

用 下 地 址 或 主机 名 表示 的 目标 。 

这 个 诊断 工具 通过 多 次 发 送 ICMP 回声 请 求 报 文 来 确定 到 达 目 标的 路 径 , 每 个 报 文中 TTL 
字段 的 值 都 是 不 同 的 。 通 路 上 的 路 由 器 在 转发 人 P 数据 报 之 前 先 要 对 TIL 字段 减 一 ， 如 果 TIL 
为 0， 则 路 由 器 就 向 源 端 返 回 一 个 超时 〈Time Exceeded) 报 文 ， 并 丢弃 原来 要 转发 的 报 文 。 在 
tracert 第 一 次 发 送 的 回声 请 求 报 文中 置 TTL=1， 然 后 每 次 加 1， 这 样 就 能 收 到 沿途 各 个 路 由 器 
返回 的 超时 报 文 , 直至 收 到 目标 返回 的 ICMP 回声 响应 报 文 。 如 果 有 的 路 由 器 不 返回 超时 报 文 ， 
那么 这 个 路 由 器 就 是 不 可 见 的 ， 显 示 列 表 中 用 星 号 “* ”表示 。 

举例 如 下 。 

(1) 要 跟踪 到 达 主 机 corp7.microsoft.com 的 路 径 ， 则 输入 : 


tracert corp7.microsoft.com 


(2) 要 跟踪 到 达 主 机 corp7.microsoft.com 的 路 径 ， 并 且 不 进行 名 字 解 析 ， 只 显示 中 间 节 点 
的 卫 地 址 ， 则 输入 : 


tracert -d corp7.microsoft.com 
(3) 要 跟踪 到 达 主 机 corp7.microsoft.com 的 路 径 ， 并 使 用 松散 源 路 由 ， 则 输入 : 
tracert -] 10.12.0.1 10.29.3.1 10.1.44.1 corp7.microsoft.com 


图 9-44 所 示 为 利用 命令 tracert www.163.com.cn 显 示 的 路 由 跟踪 列表 。 


i 


Documents and Settings\ or>tr wu-163-com-cn 


Ir g route to www.16 
lover a maximum of 39 


s.it-comn.net [128.168 


Trace complete. 


图 9-44 tracert 的 显示 结果 


9.7.6 Pathping 


Pathping 结合 了 ping 和 tracert 两 个 命令 的 功能 ， 显示 通信 线路 上 每 个 子 网 的 延迟 和 丢 
包 率 。pathping 在 一 段 时 间 内 向 通路 中 的 各 个 路 由 器 发 送 多 个 回声 请 求 报 文 ， 然 后 根据 每 个 路 
由 器 返回 的 数据 包 计 算 统计 结果 。 由 于 pathping 命令 显示 了 每 个 路 由 器 〈 或 链 路 ) 丢失 数据 包 
的 程度 ,所 以 用 户 可 以 据 此 确定 哪些 路 由 器 或 者 子 网 存在 通信 问题 。Pathping 命令 的 语法 如 下 : 


pathping [-n] [-h MaximumHops] [-g HostList] [-p Period] [-q NumQueries [-w Timeout] [-T] [-R] 
[TargetNamel] 


对 以 上 参数 解释 如 

。 -hn 

不 进行 名 字 解 析 ， 以 加 快 显示 速度 

®。  -hMaximumHops 

说 明了 搜索 目标 期 间 的 最 大 跃 点 数 ， 默 认 是 30。 
。 -gHostList 


在 发 送 回 声 请 求 报 文 时 使 用 松散 源 路 由 ， 标 识 符 HostList 列 出 了 中 间 节 点 的 名 字 或 地 址 。 
最 多 可 以 列 出 9 个 中 间 节 点 ， 用 空格 分 开 。 

e -了 Period 

说 明 两 次 ping 之 间 的 时 间 间 隔 (ms)， 默 认为 1/4 s。 

® -qdNumQOueries 

说 明 发 送 给 每 个 路 由 器 的 回声 请 求 报 文 的 数量 ， 默 认为 100 个 。 
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® -Ww Timeout 

说 明 每 次 等 待 回声 响应 的 时 间 ， 默 认 是 3 s。 

. Ey 

对 发 送 的 回声 请 求 数据 包 附加 上 第 二 层 优先 标志 例如 802.1p)。 这 样 可 以 测试 出 不 具备 
区 分 第 二 层 优先 级 能 力 的 设备 ， 这 个 开关 用 于 测试 网 络 连接 提供 不 同 服务 质量 的 能 

。 -RR 

确定 通路 上 的 设备 是 否 支持 资源 预约 协议 (RSVP)， 这 个 开关 用 于 测试 网 络 连接 提供 不 同 
服务 质量 的 能 

® TargetName 

用 下 地 址 或 名 字 表 示 的 目标 。 

pathping 命令 的 参数 是 大 小 写 敏感 的 ， 所 以 T 和 RR 必须 大 写 。 为 了 防止 网 络 拥塞 ，ping 的 
频率 不 能 太 快 ， 这 样 也 可 以 防止 突 发 性 地 丢 包 。 

当 使 用 -p Period 参数 时 ， 对 每 一 个 中 间 节 点 一 次 只 发 送 一 个 回声 请 求 包 ， 对 同一 节点 ， 两 
次 ping 之 间 的 时 间 间 隔 是 PeriodX 跃 点 数 。 

当 使 用 -w_Timeout 参数 时 ， 多 个 回声 请 求 包 并 行 地 发 出 ， 因 此 标识 符 Timeout 规定 的 时 间 
并 不 受 由 Period 规定 的 时 间 限 制 。 

IEEE 802.1p 标准 使 得 局 域 网 交换 机 具有 以 优先 级 区 分 信息 流 的 能 力 ， 向 支持 声音 、 图 像 
和 数据 的 综合 业务 方面 迈进 了 一 步 。802.1p 定义 了 8 种 不 同 的 优先 级 ， 分 别 用 于 支持 时 间 关 键 
的 通信 (例如 RIP 和 OSPF 的 路 由 更 新 报 文 ;， 延 迟 敏感 的 应 用 例如 交互 式 语音 和 视频 )， 可 
控 负 载 的 多 媒体 流 ， 重 要 的 SAP 数据 以 及 尽力 而 为 (best-effort〉 的 通信 等 。 符 合 802.1p 规范 
的 交换 机 具有 多 队列 缓冲 硬件 ， 可 以 对 较 高 优先 级 的 分 组 进行 快速 处 理 ， 使 得 这 些 分 组 能 够 越 
过 低级 别 分 组 而 迅速 通过 交换 机 。 

在 传统 的 单一 缓冲 区 交换 机 中 ， 当 信息 传输 出 现 拥塞 时 ， 所 有 分 组 将 平等 地 排队 等 待 ， 直 
到 可 继续 前 进 。 由 于 传统 设备 不 能 识别 第 二 层 优先 级 标签 ， 那 些 带 有 优先 标签 的 分 组 就 会 被 丢 
弃 ， 所 以 应 用 开关 可 以 区 分 传统 交换 机 与 可 提供 第 二 层 优先 级 的 交换 机 。 

R 参数 用 于 对 资源 预约 协议 的 测试 。RSVP 预约 报 文 在 会 话 开 始 之 前 首先 发 送 给 通路 上 的 
每 一 个 设备 。 如 果 设 备 不 支持 RSVP， 它 返回 一 个 ICMP “目标 不 可 到 达 ” 报 文 ; 如 果 设 备 支持 
RSVP， 它 返回 一 个 “预约 错误 信息 ” 报 文 。 有 一 些 设 备 什么 信息 也 不 返回 ， 如 果 这 种 情况 出 
现 ， 则 显示 超时 信息 。 

图 9-45 的 例子 显示 了 命令 C:>pathping -n corpl 的 输出 。pathping 运行 时 产生 的 第 一 个 结 
果 就 是 路 径 列 表 ， 与 tracert 命令 显示 的 结果 相同 。 接 着 出 现 一 个 大 约 125 s 的 “ 忙 ” 消 息 ， 忙 
时 间 的 长 短 随 着 跃 点 数 的 多 少 有 所 变化 。 这 期 间 ， 从 上 述 列表 中 的 路 由 器 以 及 它们 之 间 的 链 路 


ss 


收集 统计 信息 ， 最 后 显示 测试 结果 。 


Tracing route to CorpI [10.54.1.196] 
over a maximum of 30 hops: 

0 172.16.87.35 

1 172.16.87.218 

2 192.168.52.1 

3 192.168.80.1 

4 10.54.247.14 

5 10.54.1.196 
Computing statistics for 125 seconds... 

Source to Here This Node/Link 


Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address 

0 L1225:87.35 
0/ 100 = 0O% 1 

对 4ims 0/ 100 = 0% 0/ 100 = 0% 172.16.87.218 
13/ 100 = 13% 1 

2 22ms 16/ 100 = 16% 3/ 100 = 3% 192.168.52.1 
0/ 100 = 0% 1 

3 24ms 13/ 100 = 13% 0/ 100 = 0% 192.168.80.1 
0/ 100 = 0% 1 

4 2ims 14/ 100 = 14% 1/ 100 = 1% 10.54.247.14 
0/ 100 = 0% 1 

5 24ms 13/ 100 = 13% 0/ 100 = 0% 10.54.1.196 


Trace complete. 
图 9-45 命令 pathping 的 显示 结 


在 图 9-45 所 示 的 样本 报告 中 ,Node/Link、Lost/Sent=Pct 和 Address 栏 显示 :在 172.16.87.218 
与 192.168.52.1 之 间 的 链 路 上 丢 包 率 是 13%。 第 二 跳 和 第 四 跳 的 路 由 器 也 丢失 了 数据 包 ， 但 是 
对 于 它们 转发 的 通信 和 量 不 会 产生 影响 。 在 图 中 的 地 址 栏 (Address》 中 ， 以 直 杠 “|” 标 志 由 于 
链 路 拥塞 而 产生 的 丢 包 ， 至 于 路 由 器 丢 包 的 原因 ， 则 可 能 是 设备 过 载 了 。 


9.7.7 Nbtstat 
这 个 命令 显示 NetBT (NetBIOS over TCPHP) 协议 的 统计 信息 ， 包 括 本 地 计算 机 和 远程 


计算 机 的 NetBIOS 名 字 表 ， 以 及 NetBIOS 名 字 缓 存 。Nbtstat 也 可 以 刷新 NetBIOS 名 字 缓 存 ， 
刷新 已 经 注册 了 的 WINS 名 字 。Nbtstat 命令 的 语法 如 下 : 

nbtstat [-a RemoteName] [-A IPAddress| [-c] [-n] [-t] [-R] [-RR] [-s] [-S] [nterva]] 

对 以 上 参数 解释 如 下 。 

® -aRemoteName 

显示 远程 计算 机 的 NetBIOS 名 字 表 ， 用 标识 符 RemoteName 指示 远程 计算 机 的 名 字 。 

e -AJIPdddress 

显示 远程 计算 机 的 NetBIOS 名 字 表 ， 用 标识 符 IPAddress 指示 远程 计算 机 的 IP 地址。 


是 :7 医 


. - 
显示 NetBIOS 名 字 缓 存 的 内 容 。 


. -n 
显示 本 地 计算 机 的 NetBIOS 名 字 表 。 
. I 


显示 NetBIOS 名 字 解 析 的 统计 数据 。 在 配置 了 WINS 的 Windows XP 计算 机 上 ,这 个 参数 
回 通过 广播 解析 的 名 字 ， 以 及 通过 WINS 服务 器 解析 的 名 字 。 
。 -有 R 
清除 NetBIOS 名 字 缓 存 ， 并 从 Lmhosts 文件 装载 带 有 标签 #PRE 的 预 加 载 项 目 。 
e -RR 
释放 并 刷新 本 地 计算 机 在 WINS 服务 器 中 注册 的 名 字 。 
. -Ss 
显示 NetBIOS 客户 端 与 服务 器 的 会 话 ， 并 把 目标 全 地 址 转换 为 名 字 。 
® -S 
显示 NetBIOS 客户 端 与 服务 器 的 会 话 ， 用 他 地 址 表示 远程 计算 机 。 
e Interval 
多 次 显示 统计 数据 ， 显 示 的 间隔 时 间 由 标识 符 Interval ( 秒 ) 表示 ， 直 至 输入 CtrltC 停止 
显示 。 如 果 这 个 参数 缺失 ， 只 显示 一 次 。 
Nbtstat 命令 行 参数 是 大 小 写 敏 感 的 ， 所 以 -A，-R，-RR 和 -S 等 必须 大 写 。 
表 9-8 表示 nbtstat 命令 显示 的 列表 栏目 的 含义 。 表 9-9 说 明了 NetBIOS 连接 的 状态 。 
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表 9-8 nbtstat 列表 栏目 的 含义 


栏 目 解 释 
Input 接收 的 字 节 数 
Output 发 送 的 字 节 数 
In/Out 连接 是 入 径 (inbound) 或 出 径 (outbound) 
Life 名 字 缓 存 表 项 的 剩余 生命 期 
Local Name NetBIOS 连接 的 本 地 名 字 
Remote Host 远程 计算 机 的 名 字 或 地 址 
Type 名 字 的 类 型 ， 可 以 是 唯一 名 字 (unique) 或 组 名 字 (group) 
Status 已 注册 (Registered)， 冲 突 (Conflict) 
State NetBIOS 连接 的 状态 


ss 


表 9-9 NetBIOS 连接 的 状态 


状 态 解 释 

Connected 会 话 已 经 建立 

Associated 

Listening 壬 得 

Idle 端点 已 经 打开 ， 但 不 能 解释 连接 

Connecting 会 话 处 于 建立 阶段 ， 正 在 解析 目标 的 名 字 一 一 地 址 映射 

Accepting 正在 解释 一 个 入 径 会 话 ， 连 接 很 快 就 要 建立 

Reconnecting -个 会 话 正在 重新 连接 

Outbound -个 会 话 处 于 正在 建立 连接 阶段 ，TCP 连接 已 经 生成 

Inbound -个 入 径 会 话 处 于 建立 连接 阶段 

Disconnecting 会 话 正在 断 开 阶段 

Disconnected 本 地 计算 机 发 出 了 释放 连接 请 求 ， 正 在 等 待 远 端 系统 的 应 答 
举例 如 下 。 


(1) 要 显示 远 端 计算 机 CORP07 的 NetBIOS 名 字 表 ， 则 输入 : 

nbtstat -a CORP07 

(2) 要 显示 地 址 为 10.0.0.99 的 远 端 计算 机 的 NetBIOS 名 字 表 ， 则 输入 : 

nbtstat -A 10.0.0.99 

(3) 要 显示 本 地 计算 机 的 NetBIOS 名 字 表 ， 则 输入 : 

nbtstat -n 

(4) 要 显示 本 地 计算 机 NetBIOS 名 字 缓 存 的 内 容 ， 则 输入 : 

nbtstat -c 

(5) 要 清除 NetBIOS 名 字 缓 存 ， 并 从 本 地 Lmhosts 文件 重 装 预 加 载 项 目 ， 则 输入 : 
nbtstat -R 

(6) 要 释放 本 地 计算 机 在 WINS 服务 器 中 注册 的 NetBIOS 名 字 并 重新 注册 ， 则 输入 : 
nbtstat -RR 


(7) 要 显示 NetBIOS 会 话 统 计数 据 ， 每 5s 显示 一 次 ， 则 输入 : 


ss 


nbtstat -S 5 


9.7.8 Route 


这 个 命令 的 功能 是 显示 和 修改 本 地 的 卫 路 由 表 ， 如 果 不 带 参数 ， 则 给 出 帮助 信息 。Route 
命令 的 语法 如 下 : 


route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric]] [if Interface]] 


对 以 上 参数 解释 如 下 。 

。° -f 

删除 路 由 表 中 的 网 络 路 由 《〈 子 网 掩 码 不 是 255.255.255.255)、 本 地 环 路 路 由 (目标 地 址 为 
127.0.0.0， 子 网 掩 人 码 为 255.0.0.0〉 和 组 播 路 由 目标 地 址 为 224.0.0.0， 子 网 掩 码 为 240.0.0.0)。 
如 果 与 其 他 命令 (例如 add、change 或 delete) 联合 使 用 ， 在 运行 这 个 命令 前 先 清除 路 由 表 。 

bs 

与 add 命令 联合 使 用 时 ， 一 条 路 由 被 添加 到 注册 表 中 ， 当 TCP/IP 协议 启动 时 ， 用 于 初始 
化 路 由 表 。 在 默认 情况 下 ， 系 统 重新 启动 时 不 保留 添加 的 路 由 。 与 print 命令 联合 使 用 时 ， 则 显 
示 持 久 路 由 列表 。 对 于 其 他 命令 , 这 个 参数 被 忽略 。 持 久 路 由 保存 在 注册 表 中 的 HKEY _ LOCAL _ 
MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \PersistentRoutes 位 置 。 

® Command 


表示 要 运行 的 命令 ， 可 用 的 命令 如 表 9-10 所 示 。 
表 9-10 可 用 的 命令 


命令 用 途 
add 添加 路 由 删除 路 由 


change 修改 已 有 的 路 由 | pn | 打印 路 由 


®。 Destination 

说 明 目 标 地 址 ， 可 以 是 网 络 地 址 (IP 地 址 中 对 应 主机 的 位 都 是 0)、 主 机 地 址 或 默认 路 由 
(0.0.0.0)。 

® maskNetmask 

说 明了 目标 地 址 对 应 的 子 网 掩 码 。 网 络 地 址 的 子 网 掩 码 依据 网 络 的 大 小 而 变化 ， 主 机 地 址 
的 子 网 掩 码 为 255.255.255.255， 默 认 路 由 的 子 网 掩 码 为 0.0.0.0。 如 果 忽 略 了 这 个 参数 ， 默 认 的 
子 网 掩 码 为 255.255.255.255。 由 于 在 路 由 寻 址 中 具有 关键 作用 ， 所 以 目标 地 址 不 能 特异 于 对 应 
的 子 网 掩 码 。 换 言 之 ， 如 果子 网 拖 码 的 某 位 是 0， 则 目标 地 址 的 对 应 位 不 能 为 1。 


| 540 项 


e Gateway 

说 明 下 一 跃 点 的 人 P 地 址 。 对 于 本 地 连接 的 子 网 ， 网 关 地 址 是 本 地 子 网 中 分 配给 接口 的 人 ? 
地 址 。 对 于 远程 路 由 ， 网 关 地 址 是 相 邻 路 由 器 中 直接 连接 的 卫 地 址 。 

e metric Metric 

说 明 路 由 度量 值 (1 一 9999)。 通 常 选择 度量 值 最 小 的 路 由 。 度 量 值 可 以 根据 跃 点 数 、 链 路 
速率 通路 可 靠 性 、 通 路 的 吞吐 率 以 及 管理 属性 等 参数 确定 。 

。 ifInterface 

说 明 接口 的 索引 。 使 用 route print 命令 可 以 显示 接口 索引 列表 。 接 口 索引 可 以 使 用 十 进 制 
数 或 十 六 进 制 数 表示 。 如 果 忽 略 和 参数 ， 接 口 索引 根据 网 关 地 址 确定 。 

路 由 表 中 可 能 出 现 很 大 的 度量 值 ， 这 是 TCP/IP 协议 根据 LAN 接口 配置 的 卫 地 址 、 子 网 
抢 码 和 默认 网 关 等 参数 自动 计算 的 度量 值 。 自 动 计算 接 ”gm 7 


口 度量 值 是 默认 的 , 就 是 根据 接口 的 速率 调整 路 由 度量 ， | 
所 以 最 快 的 接口 生成 了 最 低 的 度量 值 。 要 消除 大 的 度量 到 FR 
值 ， 就 要 应 用 “高 级 TCP/IP 设置 ”来 废除 “自动 跃 点 计 
数 ” 选 项 ， 如 图 9-46 所 示 。 | | mY 
可 以 用 名 字 表 示 路 由 目标 ， 如 果 在 %Systemroot% | 二、 ee 
\System32\Dtivers\Etc\hosts 或 Lmhosts 文件 中 存在 相应 表 
项 的 话 。 也 可 以 用 名 字 表 示 网 关 ， 只 要 这 个 名 字 可 以 通 mee [区 SO， (Ww 
过 标准 方法 解析 为 人 地 址 。 i 
在 使 用 命令 print 或 delete 时 可 以 忽略 参数 Gateway， 
使 用 通配符 来 代替 目标 和 网 关 。 目标 可 以 用 一 个 星 号 “*” 本 


来 代替 。 如 果 目 标的 值 中 包含 星 号 “* ”或 问号 “? ”， 
也 被 看 作 是 通配符 ， 用 于 匹配 被 打印 或 被 删除 的 目标 路 
由 。 事 实 上 , 星 号 可 以 匹配 任何 字符 串 , 问号 则 用 于 匹配 任何 单个 字符 。 例 如 ，10.*.1、192.168.* 
和 *224* 都 是 合法 的 通配符 。 

如 果 使 用 了 目标 地 址 与 子 网 掩 码 的 无 效 组 合 ， 则 会 显示 “Route: bad gateway address 
netmask” 的 错误 信息 。 当 目标 地 址 中 的 一 个 或 多 个 位 被 设置 为 “1 ”， 而 子 网 掩 码 的 对 应 位 却 被 
设置 为 “0” 时 ， 就 会 出 现 这 种 错误 。 为 了 检查 这 种 错误 ， 可 以 把 目标 地 址 和 子 网 掩 码 都 用 二 
进 制 表示 。 子 网 掩 码 的 二 进 制 表示 中 ， 开 头 有 一 串 “1”， 代 表 网 络 地 址 部 分 ， 后 跟 一 串 “0”， 
代表 主机 地 址 部 分 。 这 样 就 可 以 确定 ， 是 否 目标 地 址 中 属于 主机 的 位 被 设置 成 了 “1”。 

- 参数 只 能 在 Windows NT4.0、Windows 2000/2003 、Windows Millennium Edition 和 
Windows XP 中 使 用 ，Windows 9x 不 支持 这 个 参数 。 

举例 如 下 。 


图 9-46 高 级 TCP/IP 设置 


i 


(1) 要 显示 整个 路 由 器 的 内 容 ， 则 输入 : 

route print 

(2) 要 显示 路 由 表 中 以 10. 开 头 的 表 项 ， 则 输入 : 

route print 10.* 

(3) 对 网 关 地 址 192.168.12.1 要 添加 一 条 默认 路 由 ， 则 输入 : 
route add 0.0.0.0 mask 0.0.0.0 192.168.12.1 


(4) 要 添加 一 条 到 达 目标 10.41.0.0〈 子 网 掩 码 为 255.255.0.0) 的 路 由 ， 下 一 跃 点 地 址 为 
10.27.0.1， 则 输入 : 


route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 


(5) 要 添加 一 条 到 达 目 标 10.41.0.0 子 网 掩 码 为 255.255.0.0) 的 持久 路 由 ,下 一 跃 点 地 址 
为 10.27.0.1， 则 输入 : 


route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1 


(6) 要 添加 一 条 到 达 目 标 10.41.0.0 255.255.0.0 的 路 由 ， 下 一 跃 点 地 址 为 10.27.0.1, 度量 值 
为 7， 则 输入 : 


route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 metric 7 


(7) 要 添加 一 条 到 达 目 标 10.41.0.0 255.255.0.0 的 路 由 ， 下 一 跃 点 地 址 为 10.27.0.1, 接口 索 
引 为 0x3， 则 输入 : 


route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 让 0x3 

(8) 要 删除 到 达 目 标 10.41.0.0 255.255.0.0 的 路 由 ， 则 输入 : 

route delete 10.41.0.0 mask 255.255.0.0 

(9) 要 删除 路 由 表 中 所 有 以 10. 开 头 的 表 项 ， 则 输入 : 

route delete 10.* 

(10) 要 把 目标 10.41.0.0 255.255.0.0 的 下 一 跃 点 地 址 由 10.27.0.1 改 为 10.27.0.25， 则 输入 : 


route change 10.41.0.0 mask 255.255.0.0 10.27.0.25 
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9.7.9 Netsh 


Netsh 是 一 个 命令 行 脚本 实用 程序 ， 可 用 于 修改 计算 机 的 网 络 配置 。 利 用 Netsh 也 可 以 建 
立 批文 件 来 运行 一 组 命令 ， 或 者 把 当前 的 配置 脚本 用 文本 文件 保存 起 来 ， 以 后 可 用 来 配置 其 他 
的 服务 器 。 


1. Netsh 上 下 文 


Netsh 利用 动态 链接 库 (DLL ) 与 操作 系统 的 其 他 组 件 交互 作用 。Netsh 助手 (helper ) 是 
一 种 动态 链接 库 文件 ， 提 供 了 称 为 上 下 文 《context) 的 扩展 特性 ， 这 是 一 组 可 作用 于 某 种 网 络 
组 件 的 命令 。Netsh 上 下 文 扩大 了 它 的 作用 ， 可 以 对 多 种 服务 、 实 用 程序 或 协议 提供 配置 和 监 
控 功 能 。 例 如 ，Dhcpmon.dll 就 是 一 种 Netsh 助手 文件 ， 它 提供 了 一 组 配置 和 管理 DHCP 服务 
器 的 命令 。 

运行 Netsh 命令 要 从 Cmd.exe 提示 符 开 始 ， 然 后 转 到 指定 的 上 下 文 。 可 使 用 的 上 下 文 取决 
于 已 经 安装 的 网 络 组 件 。 例 如 ， 在 Netsh 命令 提示 符 (netsh>) 下 输入 dhcp， 就 会 转 到 DHCP 
上 下 文 。 但 是 如 果 没有 安装 DHCP 服务 ， 则 会 出 现下 面 的 信息 : 


The following command was not found: dhcp. 


2. 使 用 多 个 上 下 文 


从 一 个 上 下 文 可 以 转 到 另 一 个 上 下 文 ， 后 者 叫做 子 上 下 文 。 例 如 ， 在 路 由 上 下 文中 可 以 转 
到 卫 或 IPX 上 下 文 。 

为 了 显示 在 某 个 上 下 文中 可 使 用 的 子 上 下 文 和 命令 列表 ， 可 以 在 Netsh 提示 符 下 输入 上 下 
文 的 名 字 ， 后 跟 “? ”或 help。 例 如 ， 为 了 显示 在 路 由 上 下 文中 可 使 用 的 子 上 下 文 和 命令 ， 在 
netsh 提示 符 下 输入 : 


netsh>routing ? 
或 者 
netsh>routing help 


为 了 不 改变 当前 上 下 文 而 完成 另外 一 个 上 下 文中 的 任务 ， 可 以 在 Netsh 提示 符 下 输入 命令 
的 上 下 文 路 径 。 例 如 ， 要 在 IGMP 上 下 文中 添加 “本 地 连接 ”接口 而 不 改变 到 IGMP 上 下 文 ， 
则 输入 : 


netsh>routing ip igmp add interface "Local Area Connection" startupqueryinterval=21 


ss 


人 


3. 在 Cmd.exe 命令 提示 符 下 运行 Netsh 命令 


为 了 在 远程 Windows Server 2003 中 运行 Netsh 命令 ,首先 要 通过 “远程 桌面 连接 ”连接 到 
正在 运行 终端 服务 器 的 Windows Server 2003 系统 中 。 在 Cmd.exe 命令 提示 符 下 输入 netsh， 就 
进入 了 netsh> 提示 符 。Netsh 的 语法 如 下 : 


netsh [-a AliasFile] [-c Context| [-r RemoteComputer] [{NetshCommandl-f ScriptFile}] 


对 以 上 参数 解释 如 下 : 

。 -aAliasrile 

运行 AliasFile 文件 后 返回 netsh 提示 符 。 
® -CContext 


转 到 指定 的 netsh 上 下 文 ， 可 用 的 上 下 文 如 表 9-11 所 示 。 


表 9-11 netsh 上 下 文 


下 下- 文 解释 
A 配置 认证 、 授 权 、 计 费 和 审计 (Authentication, Authorization, Accounting, and Auditing， 
AAAA) 数据 库 ， 该 数据 库 是 Internet 认证 服务 器 和 路 由 及 远程 访问 服务 器 要 使 用 的 
DHCP 管理 DHCP 服务 器 
Diag 操作 系统 和 网 络 服务 的 管理 及 故障 诊断 
Interface | 配置 TCP/IP 协议 ， 显 示 配 置 和 统计 信息 
RAS 管理 远程 访问 服务 器 
Routing “| 管理 路 由 服务 器 
WINS 管理 WINS 服务 器 


® -rRemoteComputer 

配置 远程 计算 机 。 

® NetshCommand 

说 明 要 使 用 的 netsh 命令 。 

e  -fScripiFile 

运行 脚本 后 转 出 netsh.exe。 

关于 -r 参数 的 使 用 值得 注意 。 如 果 在 -r 参数 中 使 用 了 另外 的 命令 ， 则 netsh 在 远程 计算 机 
上 执行 这 个 命令 ， 然 后 返回 到 cmd.exe 命令 提示 符 下 。 如 果 使 用 -r 参数 而 没有 使 用 其 他 命令 ， 
则 netsh 保持 在 远程 模式 。 这 个 过 程 类 似 于 在 netsh 命令 提示 符 下 执行 set machine 命令 。 在 使 
用 工 参 数 时 ， 只 是 在 当前 的 netsh 实例 中 配置 目标 机 器 。 在 转 出 并 重新 进入 netsh 后 ， 目 标 机 器 


ss 


又 变 成 了 本 地 计算 机 。 远程 计算 机 的 名 字 可 以 是 存储 在 WINS 服务 器 上 的 名 字 、UNC (Universal 
Naming Convention) 名 字 、 可 以 被 DNS 服务 器 解析 的 Intemet 名 字 或 者 卫 地 址 。 


4. 在 Netsh.exe 提示 符 下 运行 Netsh 命令 


在 netsh> 提 示 符 下 可 以 使 用 下 面 一 些 命令 。 

。 “.. : 转移 到 上 一 层 上 下 文 。 

。 ”abort: 放弃 在 脱 机 模式 下 所 做 的 修改 。 

。 ”add helper DLLName: 在 netsh 中 安装 netsh 助手 文件 DLLName。 

。 alias [4liasName]: 显示 指定 的 别名 。 

alias [AliasName][string1 [string2…]]: 设置 AliasName 的 别名 为 指定 的 字符 串 。 

可 以 使 用 别名 命令 行 替换 netsh 命令 , 或 者 将 其 他 平台 中 更 熟悉 的 命令 映射 到 适当 的 netsh 
命令 。 下面 是 使 用 alias 的 例子 , 这 个 脚本 设置 了 两 个 别名 Shaddr 和 Shp, 并 进入 netsh interface 
ip 上下文: 


alias shaddr show interface ip addr 
alias shp show helpers 
interface ip 


如 果 在 Netsh 命令 提示 符 下 输入 shaddr， 则 被 解释 为 命令 show interface ip addr; 如 果 在 
Netsh 命令 提示 符 下 输入 shp， 则 被 解释 为 命令 show helpers。 

。 bye: 转 出 Netsh。 

。 ”commit: 向 路 由 器 提交 在 脱 机 模式 下 所 做 的 改变 。 

。 ”delete helper DLLName: 删除 netsh 助手 文件 DLLName。 

。 ”dump [FileName]: 生成 一 个 包含 当前 配置 的 脚本 。 如 果 要 把 脚本 保存 在 文件 中 ， 则 使 
用 参数 FileName。 如 果 不 带 参数 ， 则 显示 当前 配置 脚本 。 

。 ”exec ScriptFile: 装载 并 运行 脚本 文件 ScriptFile。 脚 本 文件 运行 在 一 个 或 多 个 计算 

机 上 。 

eexit: 从 Netsh 转 出 。 

。 ”help: 显示 帮助 信息 ， 可 以 用 /? 或 ?或 h 代 蔡 。 

。 ”offline: 设置 为 脱 机 模式 。 

。 ”online: 设置 为 联机 模式 。 

在 脱 机 模式 下 做 出 的 配置 可 以 保存 起 来 ， 通 过 运行 commit 命令 或 联机 命令 在 路 由 器 上 执 
行 。 从 脱 机 模式 转 到 联机 模式 时 ， 在 脱 机 模式 下 做 出 的 改变 会 反映 在 当前 正在 运行 的 配置 中 ， 
而 在 联机 模式 下 做 出 的 改变 会 立即 反映 在 当前 正在 运行 的 配置 中 。 
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。 ”popd: 从 堆栈 中 恢复 上 下 文 。 

。 pushd: 把 当前 的 上 下 文保 存在 堆栈 中 。 

popd 与 pushd 配合 使 用 , 可 以 改变 到 新 的 上 下 文 , 运行 新 的 命令 , 然后 恢复 前 面 的 上 下 文 。 
下 面 是 使 用 这 两 个 命令 的 例子 。 这 个 脚本 首先 从 根 脚本 转 到 interface ip 上 下 文 ， 添 加 一 个 静态 
路 由 ， 然 后 返回 根 上 下 文 。 


netsh> 

pushd 

netsh> 

interface ip 

netsh interface ip> 

set address local static 10.0.0.9 255.0.0.0 10.0.0.1 1 
netsh interface ip> 

popd 

netsh> 


。 quit 转 出 Netsh。 
。 set file {open FileNamelappend FileName| close}: 拷贝 命令 提示 符 窗口 的 输出 到 指定 的 
文件 。 其 中 的 参数 如 下 。 
9 open FileName: 打开 文件 FileName， 并 发 送 命令 提示 符 窗 口 的 输出 到 这 个 文件 。 
* ”append FileName: 附加 命令 提示 符 窗口 的 输出 到 指定 的 文件 FileName。 
4 Close: 停止 发 送 输出 并 关闭 文件 。 
如 果 指 定 的 文件 不 存在 ， 则 netsh 生成 一 个 新 文件 ， 如 果 指 定 的 文件 存在 ， 则 netsh 重 写 文 
件 中 已 有 的 数据 。 下 面 的 命令 生成 一 个 叫做 session.log 的 记录 文件 ， 并 拷贝 netsh 的 输入 和 输 
出 到 这 个 文件 : 


set file open c:\session.log 


。 “set machine [[ComputerName=]string]: 指定 当前 要 完成 配置 任务 的 计算 机 ， 其 中 的 字 
符 串 string 是 远程 计算 机 的 名 字 。 如 果 不 带 参数 ， 则 指 本 地 计算 机 。 

在 一 个 脚本 中 ,可 以 在 多 个 计算 机 上 执行 命令 。 在 一 个 脚本 中 ， 首 先 利用 set machine 命令 
说 明 一 个 计算 机 ComputerA， 在 这 个 计算 机 上 运行 随后 的 命令 。 然 后 再 利用 set machine 命令 指 
定 另外 一 个 计算 机 ComputerB， 再 在 这 个 计算 机 上 运行 命令 。 

。 “set mode {onlineloffline}: 设置 为 联机 或 脱 机 模式 。 

。 ”show {aliaslhelperlmode}: 显示 别名 、 助 手 或 当前 的 模式 。 

。 ”unalias 4liasName: 删除 指定 的 别名 。 


sR 


9.7.10 Nslookup 


Nslookup 命令 用 于 显示 DNS 查询 信息 ， 诊 断 和 排除 DNS 故障 。 使 用 这 个 工具 必须 熟悉 
DNS 服务 器 的 工作 原理 〈 参 见 本 书 第 7 章 )。Nslookup 有 交互 式 和 非 交互 式 两 种 工作 方式 。 


Nslookup 的 语法 如 下 : 
se。 nslookup [-option ...] # 使 用 默认 服务 器 ， 进 入 交互 方式 
®。 nslookup [-option ...] -server # 使 用 指定 服务 器 server， 进 入 交互 方式 
。 nslookup [-option ...] host # 使 用 默认 服务 器 ， 查 询 主 机 信息 
。 “nslookup [-option .….] host server ” # 使 用 指定 服务 器 Server， 查 询 主机 信息 
es。 ?|/|/help # 显 示 帮 助 信息 


1， 非 交互 式 工作 


所 谓 非 交 互 式 工作 ， 就 是 只 使 用 一 次 Nslookup 命令 后 又 返回 到 Cmd.exe 提示 符 下 。 如 果 
只 查询 一 项 信息 ， 可 以 进入 这 种 工作 方式 。Nslookup 命令 后 面 可 以 跟随 一 个 或 多 个 命令 行 选项 
(option)， 用 于 设置 查询 参数 。 每 个 命令 行 选项 由 一 个 连 字 符 “-” 后 跟 选 项 的 名 字 ， 有 时 还 要 
加 一 个 等 号 “=” 和 一 个 数值 。 

在 非 交互 方式 中 ， 第 一 个 参数 是 要 查询 的 计算 机 (host) 的 名 字 或 他 地址 ， 第 二 个 参数 是 
DNS 服务 器 〈server) 的 名 字 或 瑟 地 址 ， 整 个 命令 行 的 长 度 必 须 小 于 256 个 字符 。 如 果 忽略 了 
第 二 个 参数 ， 则 使 用 默认 的 DNS 服务 器 。 如 果 指 定 的 host 是 下 地 址 ， 则 返回 计算 机 的 名 字 ; 
如 果 指 定 的 host 是 名 字 ， 并 且 没 有 尾随 的 句点 ， 则 默认 的 DNS 域名 被 附加 在 后 面 〈 设 置 了 
defname)， 查 询 结果 给 出 目标 计算 机 的 卫 地 址 。 如 果 要 查找 不 在 当前 DNS 域 中 的 计算 机 ， 在 
其 名 字 后 面 要 添加 一 个 句点 “.”( 称 为 尾随 点 )。 下 面 举例 说 明 非 交互 方式 的 用 法 。 

(1) 应 用 默认 的 DNS 服务 器 根据 域名 查找 人 P 地 址 。 

Ci\>nslookup nsl.isiedu 


Server: nsl.domain.com 
Address: 202.30.19.1 


Non-authoritative answer: # 给 出 应 答 的 服务 器 不 是 该 域 的 权威 服务 器 
Name: nsl.isiedu 
Address: 128.9.0.107 # 查 出 的 卫 地 址 


(2) 应 用 默认 的 DNS 服务 器 根据 人 P 地 址 查找 域名 。 


Ci\>nslookup 128.9.0.107 


za 医 


Server ns1.domain.com 
Address: 202.30.19.1 


Name: nslisi.edu # 查 出 的 他 地 址 
Address: 128.9.0.107 


(3) Nslookup 命令 后 面 可 以 跟随 一 个 或 多 个 命令 行 选项 (option)。 例如， 要 把 默认 的 查询 
类 型 改 为 主机 信息 ， 把 超时 间隔 改 为 Ss， 查 询 的 域名 为 nsl.isiedu， 则 使 用 下 面 的 命令 : 
C:nslookup -type=hinfo -timeout=5 nsl.isiedu 


Server: nsl.domain.com 
Address: 202.30.19.1 


isiedu # 给 出 了 SOA 记录 

primary name server = isiedu # 主 服务 器 

responsible mail addr = action.isi.edu # 邮 件 服务 器 

serial = 2009010800 # 查 询 请 求 的 序列 号 

refresh 。 = 7200 <2 hours> # 刷 新 时 间 间 隔 

retry = 1800 <30 mins> # 重 试 时 间 间 隔 

expire = 604800 <7 days> # 辅 助 服务 器 更 新 有 效 期 

default TTL = 86400 <1 days> # 资 源 记录 在 DNS 缓存 中 的 有 效 期 
C:> 


2. 交互 式 工作 


如 果 需 要 查找 多 项 数据 ， 可 以 使 用 Nslookup 的 交互 工作 方式 。 在 Cmd.exe 提示 符 下 输入 
nslookup 后 按 Enter 键 ， 就 进入 了 交互 工作 方式 ， 命 令 提 示 符 变 成 “>”。 

在 命令 提示 符 “>” 下 输入 help 或 ?, 会 显示 可 用 的 命令 列表 (如 图 9-47 所 示 ); 如 果 输 入 
exit， 则 返回 Cmd.exe 提示 符 。 

在 交互 方式 下 ， 可 以 用 set 命令 设置 选项 ， 满 足 指定 的 查询 需要 。 下 面 举 出 几 个 常用 子 命 
令 的 应 用 实例 。 

(1) >set all: 列 出 当前 设置 的 默认 选项 。 


>set all 
Server ns1.domain .com 
Address: 202.30.19.1 


Set options: 


i 


nodebug # 不 打印 排 错 信息 


defhame # 对 每 一 个 查询 附加 本 地 域名 

search # 使 用 域名 搜索 列表 

ee 1 

MSxfr # 使 用 MS 快速 区 域 传输 

IXFRversion=1 # 当 前 的 IXFR〈 渐 增 式 区 域 传输 ) 版 本 号 
srchlist= # 查 询 搜索 列表 


Commands: (identifiers are shown in uppercase, [] means optional) 
NAME - print info about the host/domain NAME using default server 
NAME1 NAME2 - as above, but use NAME2 as server 
help or ? - print info on common commands 
set OPTION - set an option 
all - print options, current server and host 
[noldebug - print debugging information 
[no]d2 - print exhaustive debugging information 
[noldefname - append domain name to each query 
[nojrecurse - ask for recursive answer to query 
[nojsearch - use domain search list 
[no]ve - always use a virtual circuit 
domain=NAME - set default domain name to NAME 
srchlist=N1[/N2/.../N6] - set domain to N1 and search list to N1, N2, etc. 
Toot=NAME - set root server to NAME 
retry=X - set number of retries to X 
timeout=X - set initial time-out interval to X seconds 
type=X - set query type (for example. A, ANY, CNAME, MX. NS, PTR., SOA, SRV) 
querytype=X - same as type 
class=X - set query class (for example. IN (Internet). ANY) 
[nojmsxfr - use MS fast zone transfer 
ixfrver=X - current Version to Use in IXFR transfer request 
server NAME - set default server to NAME. using current default server 
lserver NAME - set default server to NAME. using initial server 
finger [USER] - finger the optional NAME at the current default host 
Toot - set current default server to the root 
ls [opt] DOMAIN [> FILE] - list addresses in DOMAIN (optional: output to FILE) 
-a - list canonical names and aliases 
-d - list all records 
-t TYPE - list records of the given type (for example, A. CNAME. MX. NS. PTR. and so on) 
View FILE - sort an 'ls' output file and view it with pg 
exit - exit the program 


图 9-47 nslookup 子 命令 
(2) set type=mx: 这 个 命令 查询 本 地 域 的 邮件 交换 器 信息 。 


C: nslookup 


0 


Default Server: ns1.domain.com 
Address: 202.30.19.1 

> set type=mx 

>163.com.cn 

Server nsl.domain.com 
Address: 202.30.19.1 


Non-authoritative answer: 

163.com.cn MX preference = 10, mail exchanger =mx1.163.com.cn 
163.com.cn MX preference = 20, mail exchanger =mx2.163.com.cn 
mx1.163.com.cn internet address = 61.145.126.68 

mx2.163.com.cn internet address = 61.145.126.30 

> 


(3) server NAME: 由 当前 默认 服务 器 切换 到 指定 的 名 字 服 务 器 NAME。 类 似 的 命令 lserver 
是 由 本 地 服务 器 切换 到 指定 的 名 字 服 务 器 。 


C: nslookup 

Default Server: ns1.domain.com 
Address: 202.30.19.1 

> server 202.30.19.2 

Default Server: ns2.domain.com 
Address: 202.30.19.2 


(4) ls: 这 个 命令 用 于 区 域 传输 ， 罗 列 出 本 地 区 域 中 的 所 有 主机 信息 。ls 命令 的 语法 如 下 : 

ls [- al-d | -t type] domain [> filename] 

不 带 参 数 使 用 ]s 命令 将 显示 指定 域 (domain) 中 所 有 主机 的 了 P 地 址 。-a 参数 返回 正式 名 
称 和 别名 ，-d 参数 返回 所 有 数据 资源 记录 ， 而 -t 参数 将 列 出 指定 类 型 (type) 的 资源 记录 。 任 
选 的 flename 是 存储 显示 信息 的 文件 。 如 图 9-48 所 示 。 

如 果 安 全 设置 禁止 区 域 传输 ， 将 返回 下 面 的 错误 信息 : 

*** Can't list domain example.com : Server failed 

(5) set type: 该 命令 的 作用 是 设置 查询 的 资源 记录 类 型 。DNS 服务 器 中 主要 的 资源 记录 
有 A 域名 到 人 P 地 址 的 映射 )、PTR (IP 地 址 到 域名 的 映射 )、MX 邮件 服务 器 及 其 优先 级 )、 
CNAM (别名 ) 和 NS 区 域 的 授权 服务 器 等 类 型 。 通 过 A 记录 可 以 由 域名 查 地 址 ， 也 可 以 
由 地 址 查 域名 。 在 图 9-49 中 ， 用 set all 命令 显示 默认 设置 ， 可 以 看 出 type=A+AAAA， 这 时 可 
以 进行 正 向 查询 ， 也 可 以 进行 反 向 查询 ， 如 图 9-50 所 示 。 
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> 1s xidian.edu.cn 
[ns1.xidian.edu.cn] 
xidian.edu.cn- NS 
xidian.edu.cn. NS 
498net A 


A 
A 

antanna R 
apweb2k A 
bbs A 
cce A 
cese A 
cnc A 
cnis A 
WwW. cnis A 
con A 
cpi A 
cs A 
csti A 
CNC A 
cxjh A 
Dec586 A 
A 

A 

A 

A 

A 

A 

A 

A 

A 


server 


2092. 
292. 
292. 
219. 
202. 
292. 
210. 
19 
218. 
262. 
262. 
262. 
219 

262. 
262. 
219. 
202. 
292. 
292. 
262. 
219. 
2092. 
219. 
2092. 
202 

292. 
219. 


117.118.25 
Wl 
117.121.146 
245.119.146 
117.116.19 
117.112.11 
2 
245.118.199 
27.5.123 
YY 
117.112.16 
117.112.6 
245.78.155 
117.112.23 
117.114.31 
27.1.33 
TT 
和 
117.117.8 
117.121.87 
27.12.227 
117.114.35 
245.79.48 
117.112.199 
TP.79 
117.115.9 
27.6.158 


图 9-48 ls 命令 的 输出 


> seruer 61.134.1.4 


默认 服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


> set all 


默认 服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


设置 选项 : 
nodebug 
defname 
search 
recurse 
nod2 


nouc 
noignoretc 


timeout=2 

retry=1 
root=A.ROOT-SERUERS .NET 
domain= 

MSxfr 

IXFRuersionz=1 

srchlist: 


# 设 置 默认 服务 器 


# 查 询 A 记录 和 AAAA 记 录 
可 以 给 出 IPv4 和 IPv6 地 址 


= ns1.xidian.edu.cn 
server = ns2.xidian.edu.cn 


图 9-49 set all 显示 默认 设置 


是 5 医 


当 查 询 PTR 记录 时 ， 可 以 由 地 址 查 到 域名 ， 但 是 没有 从 域名 查 到 地 址 ， 而 是 给 出 了 SOA 


记录 ， 如 图 9-51 所 示 。 


> set type=ptr 
> 211.151.91.165 
服务 器 : 


Address: 


非 权威 应 答 : 


服务 器 : 


Address: 


DNS request timed 
timeout was 2 


非 权 威 应 答 : 
d.tsinghua.edu.cn 


serial = 
refresh 
retry 
expire 


> www.tsinghua.edu.cn 


服务 器 : 


Address: 


非 权 威 应 答 : 
名 称 : 


hddresses: 
hliases: 

> 211.151.91.165 
服务 器 : 


Address: 


名 称 : 


Address: 


165.91.151.211.in- 
> www.tsinghua.edu.cn 
[61.134.1.4] 
61.134.1.4 


WWW. tsinghua.edu.cn 


primary name server = 
responsible mail addr = 


default TTL 


[61.134.1.4] 
61.134.1.4 


wuw.d.tsinghua.edu.cn 
2691:da8:200:299::4:199 

211.151.91.165 

wuwu.tsinghua.edu.cn 


[61.134.1.4] 
61.134.1.4 


165.tsinghua.edu.cn 
211.151.91.165 


图 9-50 查询 A 记录 和 AAAA 记录 


并 查询 PTR 记 录 
并 由 地 址 查 域名 


[61.134.1.4] 
61.134.1.4 


# 查 询 成 功 ， 得 到 域名 
# 由 域名 查 地 址 


addr .arpa name = 165.tsinghua.edu.cn 


out. 
seconds. 


canonical name = WwW.d.tsinghua.edu.cn 


# 没 有 查 出 地 址 
但 给 出 了 SOA 记 录 


dns.d.tsinghua.edu.cn 
szhu.dns.edu.cn 
2007042815 

3660 (1 hour) 

1866 (39 mins) 

694869 (7 days) 

= 86469 (1 day) 


图 9-51 查询 PTR 记录 


重新 查询 A 记录 ， 可 以 进行 双向 查询 ， 如 图 9-52 所 示 。 


(6) set type=any: 对 查询 的 域名 显示 各 种 可 用 的 信息 资源 记录 (A、CNAME、MX、NS、 


PTR、SOA 和 SRV 等 )， 
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如 图 9-53 所 示 。 


> set type:a # 查 询 A 记录 


> www.tsinghua edu.cn # 由 域名 查 地 址 


服务 器 : [61.134.1.4] 
Address: 61.134.1.4 


非 权 威 应 答 : 
名 称 : www.d.tsinghua.edu.cn 
Address: 211.151.91.165 # 查 出 地 址 ， 并 出 给 别名 
Aliases: wun.tsinghua.edu.cn 


> 211.151.91.165 # 由 地 址 查 域名 
服务 器 : 【61.134.1.4] 
Address: 61.134.1.4 


名 称 : 165 .tsinghua_edu.cn  # 埋 询 成 功 ， 得 到 域名 
Address: 211.151.91.165 


> 


图 9-52 查询 A 记录 


> set type:any 


[218.36.19.491] 
218.30.19.49 


非 权威 应 答 : 
baidu.com internet address = 292.198.23.59 
idu.com internet address = 2296.181.5.97 


:Com nameseruer : dns.baidu.com 

:Com nameseruer : ns2.baidu.com 

.Com nameseruer : ns3.baidu.com 

:Com nameseruer : ns+.baidu.com 

,Com MX preference : 19，mail exchanger = mx1.baidu.com 


图 9-53 各 种 信息 资源 记录 


(7) set degug: 这 个 命令 与 set d2 的 作用 类 似 ， 都 是 显示 查询 过 程 的 详细 信息 ，set d2 显示 
的 信息 更 多 , 有 查询 请 求 报 文 的 内 容 和 应 答 报 文 的 内 容 。 图 9-54 是 利用 set d2 显示 的 查询 过 程 。 
这 些 信 息 可 用 于 对 DNS 服务 器 进行 排 错 。 
9.7.11 Net 

Windows 中 的 网 络 服务 都 使 用 以 net 开头 的 命令 。 在 Cmd.exe 提示 符 下 输入 net/?, 则 显示 
net 命令 的 列表 如 下 : 


NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP | 
HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION | 
SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW] 


如 果 要 查看 某 个 net 命令 的 使 用 方法 ， 则 输入 net help“ 命 令 名 ”。 例 如 为 显示 accounts 命 
令 的 用 法 ， 输 入 ci\ >net help accounts， 结 果 如 图 9-55 所 示 。 


ss 


> set d2 

> 163.com.cn 

服务 器 : ”Unknown 
Address: 218 .36.19.49 


SendRequest(), len 28 
HEADER: 
opcode : QUERY, id = 2, reode = NOERROR 
header Flags: query, vant recursion 
questions = 1. answers = 9. authority records = 0. additional : © 


QUESTIONS: 
163.con.cn, type = A, class = IN 


answer (44 bytes] : 
HERDER: 
opcode : OUERY，id = 2, reode = NOERROR 
header Flage: response, want recureion，recureion avail. 
questions = 1, answers : 1, authority records : 0, additional : 0 


QUESTIONS 
163.con.cn, type - A, clase = IN 
RNSWERS ; 
> 163.com.cn 
type : A, class : IN，dlen = 4 
internet addreee = 219.137.167.157 
ttl = 86499 (1 day) 


SendRequest(), len 28 
HERDER: 
opcode : QUERY, id = 3, reode : NOERROR 
header Flage: query, want recursion 
questions = 1, answers : 0, authority records : 0, additional = 0 


QUESTIONS 
163.con.cn, type : AAAA, claoo : IN 


Got aneuer (28 byteo): 
HERDER: 
opcode = QUERY, id = 3, rcode = NOERROR 
header fla9s: response, want recursion, recursion auail 
questions = 1, aneuere : 9, authority recorde : 0, additional = 0 


QUESTIONS: 
163.con en, type : AAAA, class : IN 
名 称 163 .com.cn 


Address: 219.137.167.157 


> 


图 9-54 显示 查询 过 程 


下 面 举 出 儿 个 常用 的 net 命令 的 例子 。 

。 cnetuser: 显示 所 有 用 户 的 列表 。 

。 cxnet share: 显示 共享 资源 。 

e “ci\>net start: 显示 已 启动 的 服务 列表 。 
。 Cci\>net start telnet: 启动 telnet 服务 。 

。 ”ci\>net stop telnet: 停止 telnet 服务 。 


:\Docunents and Settings\hdninistratorynet help accounts 


命令 的 语法 是 


IET ACCOUNTS 
[/FORCELOGOPF: Cninutes ! NOY] [/MINPWLEN:1length] 
[/MAXPWYAGE: Cdays ! UNLIMITEDY] [/MINPWAGE:days] 


[/UNIQUEPY:number] [/DOMAIN] 


售 的 帐户 数据 库 ， 并 为 所 修改 密 
a tt 
显示 密 色 ， 和 登录 限制 ， 以 及 域 信息 的 当前 设置 。 
为 了 使 用 带 有 选项 的 NET nccouNTS 命令 ， 需 要 如 下 两 个 条 件 ， 
仅 当 用 户 的 帐户 已 经 设立 时 < 使 用 “用 户 管理 器 ”或 NET USER 命令 》， 密 码 和 
入 
所 有 站 证 生 和 的 过 服务 器 必 须 运 生 NET Logon 服务 。 当 Windows 启动 时 ， 
FORCELOGOFF: Cninutes ! NO7 六 的 分 半数 : 这 
E 范围 是 9-14 个 字 


ILINITED 指定 没有 
/HINPWAGE, 


INPWLEN: length 


XPWAGE: Cdays 1 UNLIMITED》 i 


INPUAGE: days 用 户 不 能 改变 9 最 小 天 数 。@ 表示 没 . 
其? 默认 值 是 @ 天 。/MINPWAGE 
MAXPWAGE 选项 。 
指定 的 密码 更 改 次 数 内 必须 保持 唯一 。 


NIQUEPY: nunber 码 在 : 


oni 其 加 夺 信 基 站 和 | 吕 上 执 行 操作 。 否 则 在 本 地 计算 
杭 妆 生 操 尖 。 


IET HELP comnand ! MORE 还 屏 显示 帮助 。 


图 9-55 net 帮助 命令 


e ci\>net use: 显示 已 建立 的 网 络 连接 。 
。 cnetview: 显示 计算 机 上 的 共享 资源 列表 。 
ci\>net send: 192.16.810.1“ 时 间 到 了 ， 请 关机 ”向 地 址 为 192.168.10.1 的 计算 机 发 送 


消息 。 
9.8 网 络 监视 和 管理 工具 


用 于 采集 网 络 数据 流 并 提供 数据 分 析 能 力 的 工具 称 为 网 络 监视 器 。 监视 网 络 的 目的 是 对 数 
据 流 进行 分 析 , 发 现 网 络 通信 中 的 问题 。 网 络 监视 器 能 提供 利用 率 和 数据 流量 方面 的 统计 数据 ， 
还 能 从 网 络 通信 流 中 捕获 数据 帧 , 并 筛选 、 解 释 、 分 析 这 些 数据 帧 的 内 容 , 判断 其 来 源 和 去 向 。 
目前 大 多 数 网 络 都 是 基于 以 太 网 构建 的 ， 广 播 通信 方式 决定 了 在 一 台 计 算 机 上 可 以 采集 到 子 网 
内 的 全 部 通信 流 ， 因 此 网 络 监视 器 的 有 效 范围 遍及 路 由 器 以 内 的 全 部 通信 主机 。 
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目前 最 常用 的 网 络 监视 工具 有 Sniffer、NetXray 和 Ethereal 等 ， 其 中 Sniffer 的 功能 最 强 ， 
使 用 最 为 普遍 。 下 面 介 绍 Sniffer 的 功能 和 使 用 方法 。 


9.8.1 网 络 监听 原理 


由 于 以 太 网 采用 广播 通信 方式 , 所 以 在 网 络 中 传送 的 分 组 可 以 出 现在 同一 冲突 域 中 的 所 有 
端口 上 。 在 常规 状态 下 ， 网 卡 控制 程序 只 接收 发 送 给 自己 的 数据 包 和 广播 包 ， 对 目标 地 址 不 是 
自己 的 数据 包 则 丢弃 。 如 果 把 网 卡 配置 成 混杂 模式 (Promiscuous Mode), 它 就 能 接收 所 有 分 组 ， 
无 论 是 否 是 发 送 给 自己 的 。 

采用 混杂 模式 的 程序 可 以 把 网 络 连接 上 传输 的 所 有 分 组 都 显示 在 屏幕 上 。 有 些 协议 (例如 
FTP 和 Telnet) 在 传输 数据 和 口令 字 时 不 进行 加 密 ， 采 用 混杂 模式 的 网 络 扫描 器 就 可 以 解读 和 
提取 有 用 的 信息 ， 这 给 网 络 黑 客 造 成 了 可 乘 之 机 。 利 用 网 络 监听 技术 ， 既 可 以 进行 网 络 监控 ， 
解决 网 络 管理 中 的 问题 ， 也 可 以 进行 网 络 窍 听 ， 实 现 网 络 入 侵 的 目的 。 

当 一 个 主机 采用 混杂 模式 进行 网 络 监听 时 , 它 是 可 以 被 检查 出 来 的 , 这 里 主要 有 两 种 方法 : 
一 种 是 根据 时 延 来 判断 。 由 于 采用 混杂 模式 的 主机 要 处 理 大 量 的 分 组 , 所 以 它 的 负载 必定 很 重 ， 
如 果 发 现 某 个 计算 机 的 响应 很 慢 ， 就 可 以 怀疑 它 是 工作 于 混杂 模式 。 另 外 一 种 方法 是 使 用 错误 
的 MAC 地 址 和 正确 的 他 地 址 向 它 发 送 ping 数据 包 , 如 果 它 接收 并 应 答 了 这 个 数据 包 , 那 一 定 
是 采用 混杂 模式 进行 通信 的 。 

混杂 模式 通信 被 广泛 地 使 用 在 恶意 软件 中 ， 最 初 是 为 了 获取 根 用 户 权限 (Root 
Compromise)， 继 而 进行 ARP 欺骗 (ARP Spoofing)。 凡 是 进行 ARP 欺骗 的 计算 机 必定 把 网 卡 
设置 成 了 混杂 模式 ， 所 以 检测 那些 小 用 混杂 模式 的 计算 机 是 很 重要 的 。 


9.8.2 ”网 络 嗅 探 器 


嗅 探 器 〈Sniffer) 就 是 采用 混杂 模式 工作 的 协议 分 析 器 ， 可 以 用 纯 软 件 实现 ， 运 行 在 普通 
的 计算 机 上 ; 也 可 以 做 成 硬件 ， 用 独立 设备 实现 高 


效率 的 网 络 监控 。Sniffer Network Analyzer 是 美国 | sac ssise: | 
网 络 联盟 公司 (Network Associates INC，NAI) 的 | saeet settings for nonitoring; 


日 网 Loc 


注册 商标 ， 然 而 许多 采用 类 似 技术 的 网 络 协议 分 析 

产品 也 可 以 叫做 嗅 探 器 。NAI 是 电子 商务 和 网 络 安 

全 解决 方案 的 主要 供应 商 , 它 的 产品 除了 Sniffer Pro | ja 

之 外 ， 还 有 著名 的 防毒 软件 McAfee。 re 
常用 的 Sniffer Pro 网 络 分 析 器 可 以 运行 在 各 种 

Windows 平台 上 。Sniffer 软件 安装 完成 后 在 文件 菜 

单 中 选择 Select Settings, 就 会 出 现 图 9-56 所 示 的 界 图 9-56 设置 网 卡 


sc 


面 ， 在 这 里 可 以 选择 用 于 监控 的 网 卡 ， 使 其 置 于 混杂 模式 。 
9.8.3 Sniffer 软件 的 功能 和 使 用 方法 


Sniffer Pro 主要 包含 4 种 功能 组 件 : 

(1) 监视 。 实 时 解码 并 显示 网 络 通信 流 中 的 数据 。 

(2) 捕获 。 抓 取 网 络 中 传输 的 数据 包 并 保存 在 缓冲 区 或 指定 的 文件 中 ， 供 以 后 使 用 。 

(3) 分 析 。 利 用 专家 系统 分 析 网 络 通信 中 潜在 的 问题 ， 给 出 故障 症状 和 诊断 报告 。 

(4) 显示 。 对 捕获 的 数据 包 进 行 解码 并 以 统计 表 或 各 种 图 形 方式 显示 在 桌面 上 。 
网 络 监 控 是 Sniffer 的 主要 功能 ， 其 他 功能 都 是 为 监控 功能 服务 的 。 网 络 监控 可 以 提供 下 列 


(1) 负载 统计 数据 ， 包 括 一 段 时 间 内 传输 的 帧 数 、 字 节 数 、 网 络 利用 率 、 广 播 和 组 播 分 组 


计数 等 。 


(2) 出 错 统计 数据 ， 包 括 CRC 错误 、 冲 突 碎片 、 超 长 帧 、 对 准 出 错 和 冲突 计数 等 。 

(3) 按照 不 同 的 底层 协议 进行 统计 的 数据 。 

(4) 应 用 程序 的 响应 时 间 和 有 关 统 计数 据 。 

(5) 单个 工作 站 或 会 话 组 通信 量 的 统计 数据 。 

(6) 不 同 大 小 数据 包 的 统计 数据 。 

图 9-57 所 示 是 Sniffer 的 系统 界面 ， 并 且 给 出 了 监视 菜单 (Monitor) 及 其 工具 栏 的 解释 。 


当 Sniffer 工作 时 ， 单 击 “ 主 控 板 ”按钮 ， 可 以 显示 网 络 利用 率 、 数 据 包 数 / 秒 和 错误 数 / 秒 三 个 
计量 表 。 这 个 窗口 下 面 有 如 下 三 个 选项 (如 图 9-58 所 示 )。 


Sniffer Portable - Local, Ethernet (Line speed at 100 Kbps) 
了 ile Wonitor Capture lisplay Tools Database flindow Help 
sl] | oe 可 

台 | 日 | @|S| S| 型 | 当 | 外 | 到 | 六 | 全 | 区 | 大 | 多 | 加 | 


ET wec sto 矩阵 
ER 历史 采样 物理 层 状态 
a 主 控 板 i 介质 选项 
历史 采 笠 中) 
荔 刘 分 看 | 
四 能 犀 帮 他) 和 ® THd| 或 | 
二 本 县 鞭 志 思 ) 
ee 
-一 智能 屏幕 
定义 第 入 @). 
沁 择 请 具 GE) 
|e 应 用 程序 响应 时 间 
主 工具 栏 ATM 工具 栏 


图 9-57 ”Sniffer 主 菜单 
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口 Network 
口 Detail Errors 
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图 9-58 ”Sniffer 主 控 板 


。 ”Network: 显示 网 络 利 用 率 等 统计 信息 。 

。 ”Detail Errors: 显示 出 错 统计 信息 。 

。 ”Size Distribution: 显示 各 种 不 同 大 小 分 组 数 的 统计 信息 。 

单 击 “主机 表 ” 按 钮 ， 可 以 显示 通信 最 多 的 前 10 个 主机 的 统计 数据 ， 如 图 9-59 所 示 。 单 
击 “ 和 矩阵 ”按钮 ， 可 以 显示 主机 之 间 进 行 会 话 的 情况 ， 如 图 9-60 所 示 。 其 他 按钮 的 使 用 是 类 似 
的 ， 由 于 GUI 界面 直观 易 用 ， 读 者 可 以 利用 帮助 信息 熟悉 Sniffer 的 使 用 方法 。 


回 10010017.42 


图 20811114853 
图 20811117352 
加 20e11114830 
加 22291.144140 
加 10010017255 
四 1241153233 
加 10010017.139 
国 1241156249 


四 1241152107 


9.8.4 HP OpenView 


HP OpenView 由 多 个 功能 套件 组 成 ， 形 成 了 一 个 集 网 络 管理 和 系统 管理 为 一 体 的 完整 系 
统 。HP OpenView 包括 以 下 套件 。 


ss 


时 | 村 | 全 | 型 | 对 中 | 至 | 激 | 会 | 芭 | 之 | 多 | 


FstintBFA672 


号 
隔 
3 
中 | 
3 


图 | [x 


0019DBA28995 


图 9-60 和 矩阵 显示 


。 ”HP OpenView Operations: 一 体 化 的 网 络 和 系统 管理 平台 ,能 支持 数 百 个 受 控 节点 和 数 
干 个 事件 。 
。 ”HP OpenView Reporter: 报告 管理 软件 。 为 分 布 式 IT 环境 提供 灵活 易 用 的 报告 管理 解 
决 方案 ， 通 过 Web 浏览 器 可 以 发 布 和 访问 各 种 管理 报告 。 
。 ”HP OpenView Performance: 端 到 端的 资源 和 性 能 管理 软件 。 能 收集 、 统 计 和 记录 来 自 
应 用 、 数 据 库 、 网 络 和 操作 系统 的 资源 及 性 能 测量 数据 。 
。 HP OpenView GlancePlus: 实时 诊断 和 监控 软件 。 可 以 显示 系统 级 、 应 用 级 和 进程 级 
的 性 能 视图 ， 诊 断 和 识别 系统 运行 中 的 问题 和 性 能 瓶颈 。 
。 HP OpenView GlancePlus Pak 2000: 全 面 管理 系统 可 用 性 的 综合 性 产品 。 在 GlancePlus 
Pak 的 基础 上 增加 了 单一 系统 事件 与 可 用 性 管理 ， 可 监控 系统 中 的 关键 事件 ， 使 系统 
处 于 最 佳 性 能 状态 。 
。 HP OpenView Database Pak 2000: 服务 器 与 数据 库 的 性 能 管理 软件 。 它 提供 强大 的 系 
统 性 能 诊断 功能 , 可 以 检测 关键 事件 并 采取 修复 措施 , 可 提供 200 多 种 测量 数据 和 300 
多 种 日 志文 件 。 
以 上 模块 既 相 对 独立 ， 又 可 集成 在 一 起 ， 为 企业 提供 高 可 用 性 的 系统 管理 解决 方案 。 
网 络 节点 管理 器 
HP OpenView 最 初 是 为 网 络 管理 设计 的 ， 其 基础 产品 是 网 络 节点 管理 器 (Network Node 
Manager，NNM)。NNM 作为 网 络 和 系统 管理 的 基础 平台 , 可 以 与 第 三 方 管理 应 用 集成 在 一 起 ， 
形成 强大 的 综合 的 网 络 管理 环境 。HP OpenView NNM 的 主要 功能 特点 分 述 如 下 。 
(1) 自动 发 现 网 络 的 拓扑 结构 ， 全 面 管 理 网 络 中 的 各 种 设备 。NNM 能 够 自动 发 现 网 络 节 
点 ， 监 测 网 络 连接 ， 生 成 和 记录 TCP/IP 网 络 视图 ， 通 过 不 同 彩 色 表 示 网 络 设备 的 运行 状态 。 
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发 现 和 监控 功能 还 可 以 探测 广域网 上 的 设备 。 通 过 SNMP Data Presenter， 用 户 可 以 查询 网 络 的 
SNMP 信息 。 

(2) 具有 管理 大 型 、 多 节点 网 络 的 能 力 ， 可 以 适应 多 厂商 设备 、 多 操作 系统 的 异 构 型 环境 。 
NNM 可 以 管理 多 达 1000 个 以 上 的 节点 ， 能 够 适应 地 理 上 分 布 的 网 络 环境 。HP OpenView 是 一 
种 支持 多 厂商 应 用 软件 的 管理 平台 ， 可 以 支持 21 种 操作 系统 中 的 智能 代理 ， 包 括 Windows、 
NetWare 和 不 同 厂商 的 各 种 UNIX 等 。 

(3) 网 络 管理 采用 易于 操作 的 图 形 界 面 。HP OpenView 采用 图 形 用 户 界 面 ， 管 理 人 员 可 以 
通过 熟悉 的 点 击 、 拖 动 、 菜 单 选项 等 技术 实现 网 络 管理 操作 。 使 用 OpenView Windows 的 窗 格 
和 缩放 功能 ， 在 保持 全 网 总 图 像 的 同时 ， 可 以 将 视点 聚焦 于 重点 子 图 的 关键 区 域 。 

(4) 与 系统 管理 有 机 地 集成 在 一 起 。HP OpenView 的 网 络 管理 产品 可 以 紧密 地 结合 到 企业 
整体 的 资源 与 系统 管理 平台 中 , 例如 HP OpenView Operation 中 就 内 柑 了 NNM 模块 。 其 他 的 网 
络 管理 模块 都 可 以 在 HP OpenView Operation 的 操作 平台 上 执行 操作 和 显示 数据 。 

(5) 搜集 到 的 信息 可 以 进行 有 针对 性 地 选择 。NNM 对 于 所 搜集 到 的 信息 具有 简化 功能 ， 
可 提供 发 现 过 滤 和 拓扑 过 滤 、 图 像 过 滤 三 种 过 滤 方 式 ， 使 管理 人 员 可 以 根据 需要 选择 要 监控 的 
对 象 ， 定 制 视图 显示 的 内 容 和 管理 节点 之 间 传 输 的 信息 。 

(6) 网 络 管理 信息 传输 不 会 过 多 地 占用 网 络 资源 。NNM 一 方面 可 以 对 网 络 中 的 信息 进行 
过 滤 , 另 一 方面 可 以 在 本 地 进行 网 络 故障 的 处 理 , 只 把 故障 事件 和 处 理 结 果 上 报 给 上 层 控制 台 ， 
从 而 减少 了 网 络 管理 信息 传输 的 通信 流量 。 

(7) 分 布 式 的 体系 结构 和 远程 管理 操作 。HP OpenView 的 分 布 式 解决 方案 便于 协调 管理 人 
员 的 管辖 范围 ， 实 现 分 层次 的 网 络 管理 模式 。NNM 能 够 通过 Web 界面 访问 网 络 拓扑 和 网 管 数 
据 , 在 万 维 网 的 任何 地 点 都 可 以 进行 远程 管理 操作 。 采用 HP OpenView Web Launcher 还 可 以 在 
任何 地 点 启动 基于 Java 的 HP OpenView 应 用 ， 带 有 密码 校 验 的 登录 过 程 确保 了 管理 的 安全 性 。 

(8) 故障 的 发 现 、 显 示 与 排除 。NNM 能 自动 对 网 络 进行 监测 ， 搜 集 网 络 中 的 故障 和 报警 
信息 。NNM 采用 事件 关联 技术 ， 使 得 网 管 人 员 能 够 快速 定位 和 排除 故障 。 通 过 高 级 事件 关联 
引擎 把 事件 与 高 层次 报警 关联 起 来 ， 可 以 立即 发 现 网 络 故障 的 根本 原因 。 

(9) 与 其 他 网 管 工 具 的 集成 。HP OpenView 提供 了 SNMP 管理 信息 库 的 标准 管理 功能 ， 用 
户 还 可 以 对 MIB 数据 库 进 行 扩展 。 HP OpenView 提供 了 标准 的 开发 工具 , 用 于 开发 可 集成 到 管 
理 平台 上 的 应 用 软件 。HP OpenView 已 经 被 众多 厂商 作为 其 网 络 设 备 管理 的 平台 软件 。 

(10) 功能 强大 、 简 单 易 用 的 二 次 开发 能 力 。HP OpenView 提供 的 各 种 应 用 开发 包 采 用 图 
形 用 户 界 面 ， 无 须 具备 特殊 开发 技巧 就 可 以 开发 网 管 应 用 程序 。HP OpenView 提供 了 基于 C 语 
言 的 API， 具 有 功能 强大 的 可 供 调 用 的 管理 函数 和 公共 服务 ， 支 持 第 三 方 合作 伙伴 开发 多 平台 
的 、 可 扩展 的 分 布 式 网 络 管理 应 用 软件 。 
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9.8.5 IBM Tivoli NetView 


Tivoli NetView 是 IBM 公司 的 网 络 管理 工具 ， 能 够 提供 整个 网 络 环境 的 完整 视图 ， 实 现 对 
网 络 产品 的 管理 。 它 采用 SNMP 协议 对 网 络 上 的 设备 进行 实时 的 监控 ， 对 网 络 中 发 生 的 故障 进 
行 报警 ， 从 而 减少 了 系统 管理 的 难度 和 管理 工作 量 。 

IBM Tivoli NetView 网 络 管理 解决 方案 可 以 实现 的 功能 主要 包括 : 

(1) 网 络 拓扑 管理 。NetView 能 够 自动 发 现 联网 的 他 节点， 包括 路 由 器 、 交 换 机 、 服 务 器 
和 PC 等 ， 并 自动 生成 拓扑 连接 。NetView 还 可 以 按照 地 理 位 置 对 网 络 拓 扑 图 形 进 行 定制 ， 使 
之 与 实际 的 网 络 结构 更 加 吻合 。 图 9-61 是 Tivoli 网 络 管 理 拓扑 显示 界面 。 
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9-61 Tivoli 网 络 管理 拓扑 显示 界面 


NetView 提供 的 SmartSet 功能 可 以 将 具有 相同 属性 的 管理 对 象 组 成 一 个 集合 ， 例 如 用 户 可 
以 把 重要 的 路 由 器 放 在 一 起 作为 一 个 集合 ， 进 行 统一 的 管理 设置 。SmartSet 甚至 不 需要 手工 加 
入 对 象 ， 管 理 员 只 需 设 置 加 入 集合 的 条 件 ，SmartSet 就 能 够 动态 发 现 符合 条 件 的 设备 并 自动 加 
入 集合 视图 ， 从 而 为 管理 员 提供 了 很 大 的 便利 。 

(2) 网 络 故障 管理 。 网 络 故障 管理 是 网 络 管理 的 核心 。NetView 的 图 形 化 网 络 拓扑 结构 可 
以 迅速 发 现 出 现 故障 的 资源 ， 并 帮助 管理 员 分 析 故 障 原因 。 当 网 络 中 的 设备 出 现 故 障 、 死 机 
或 链 路 中 断 时 ，NetView 会 及 时 在 屏幕 上 显示 报警 信号 ， 便 于 网 络 管理 人 员 进 行 诊断 ， 并 排除 
故障 。 

(3) 网 络 性 能 管理 。NetView 的 SnmpCollect 功能 可 以 自动 采集 重要 的 网 络 性 能 数据 ， 例 
如 了 P 流量 、 带 宽 利 用 率 、 出 错 包 数量 、 丢 弃 包 数量 和 SNMP 流量 等 。 通 过 设置 各 种 参数 的 阔 
值 ，NetView 能 够 自动 发 出 报警 信号 ， 或 自动 运行 已 定义 的 管理 操作 。NetView 可 以 用 图 形 的 
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方式 显示 网 络 性 能 数据 的 变化 情况 ， 或 者 将 管理 数据 存放 在 关系 数据 库 中 ， 以 便于 以 后 进行 检 
索 和 分 析 。 图 9-62 所 示 为 网 络 性 能 分 析 视 图 。 


图 9-62 网 络 性 能 分 析 监 控 显 示 


Tivoli 数据 仓库 为 网 络 性 能 管理 提供 集中 的 历史 统计 和 报表 分 析 ， 能 够 帮助 管理 人 员 从 大 
量 数据 中 及 时 发 掘 出 可 用 于 判断 网 络 运行 状态 的 数据 ， 能 够 生成 各 种 报表 和 图 形 化 的 分 析 
报告 。 

(4) 网 络 设备 管理 。Tivoli NetView 是 使 用 最 广泛 的 网 络 管理 平台 之 一 , 支持 业界 标准 API， 
能 够 与 主要 网 络 设备 厂商 的 设备 管理 软件 (如 Cisco Works、Nortel Optivity 和 3com Transcend 
等 ) 方便 地 进行 集成 。 

(5) 管理 权限 分 配 。NetView 可 以 为 管理 员 定义 不 同 的 管理 角色 ， 不 同 的 管理 角色 可 以 被 
授权 管理 不 同 地 域 范围 的 设备 ， 没 有 权限 管理 的 设备 不 会 出 现在 网 络 拓扑 视图 中 。 

(6) Web 管理 功能 。NetView 通过 Web 控制 台 实现 了 分 布 式 的 网 络 管理 。NetView Web 
控制 台 为 用 户 提供 了 一 个 灵活 、 可 配置 的 环境 ， 便 于 用 户 远程 访问 网 络 设备 、 浏 览 交 换 机 的 端 
口 、 检 查 路 由 器 的 工作 状态 、 查 看 MAC 地 址 等 。 

(7) 支持 MPLS 管理 功能 。NetView 7.1 支持 对 多 协议 标记 交换 设备 的 识别 ， 并 能 对 有 关 
MPLS 的 数据 进行 查询 ， 可 以 管理 LSR 设备 。 

(8) 交换 机 的 故障 定位 。IBM Tivoli Switch Analyzer 提供 了 第 二 层 交 换 设备 的 发 现 功能 ， 
能 够 识别 包括 第 二 层 和 第 三 层 交 换 设 备 在 内 的 各 种 设备 之 间 的 关系 。 正 确 地 关联 分 析 可 以 区 分 
不 同 的 设备 ， 无 论 是 他 寻 址 的 端口 ， 还 是 第 二 层 交 换 机 上 非 P 寻 址 的 端口 、 板 卡 或 插件 。 
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9.8.6 CiscoWorks for Windows 


CiscoWorks for Windows 是 基于 Web 的 网 络 管理 解决 方案 ， 主 要 应 用 于 中 小 型 企业 网 络 ， 
提供 了 一 套 功 能 强大 、 价 格 低廉 且 易 于 使 用 的 监控 和 配置 工具 ， 用 于 管理 Cisco 的 交换 机 、 路 
由 器 、 集 线 器 、 防 火 墙 和 访问 服务 器 等 设备 。 使 用 Ipswitch 公司 的 WhatsUp Gold 工具 ， 还 可 
管理 网 络 打印 机 、 工 作 站 、 服 务 器 和 其 他 网 络 设备 。CiscoWorks for Windows 中 包含 下 列 组 件 。 

(1) CiscoView。CiscoView 可 以 提供 设备 前 后 面板 的 视图 ， 能 够 以 不 同 颜色 动态 地 显示 设 
备 状态 ， 并 提供 对 特定 设备 组 件 的 诊断 和 配置 功能 。CiscoView 启动 后 可 以 从 设备 列表 中 选择 
要 监视 的 设备 。 如 果 要 监视 的 设备 不 在 设备 列表 中 ， 则 直接 输入 设备 他 地 址 。 选 择 了 一 个 设备 
之 后 ， 将 出 现 有 关 该 设备 信息 的 界面 ， 如 图 9-63 所 示 。 
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图 9-63 ”CiscoView 界面 


(2) WhatsUp Gold。WhatsUp Gold 是 一 种 基于 SNMP 的 图 形 化 网 络 管理 工具 ， 可 以 通过 
自动 或 手工 创建 网 络 拓扑 结构 图 管理 整个 企业 网 络 ， 支 持 监视 多 个 设备 ， 具 有 网 络 搜索 、 拓 扑 
发 现 、 性 能 监测 和 警报 追踪 等 功能 。WhatsUp Gold 的 界面 如 图 9-64 所 示 。 

(3) 门限 管理 。 门 限 管理 器 (Threshold Manager) 能 够 在 支持 RMON 的 Cisco 设备 上 设置 
门限 值 并 提取 事件 信息 ， 以 增强 排除 网 络 故 障 的 能 力 。 使 用 Threshold Manager 之 前 ， 必 须 建 立 
门限 模板 。Cisco 公司 提供 了 一 些 预定 义 的 模板 ,用 户 也 可 以 定义 自己 的 模板 。Threshold Manager 
管理 界面 如 图 9-65 所 示 。 

在 图 9-65 中 ,Event Log 窗口 以 表格 的 方式 显示 越界 事件 信息 , 并 把 RMON 日 志 记录 保存 
在 被 管理 设备 上 ; Device Thresholds 窗口 用 来 设置 和 显示 阔 值 ;Templates 窗口 用 来 显示 所 有 默 
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认 的 或 用 户 定 制 的 模板 , 也 可 以 建立 新 的 模板 ; Trap Receivers 窗口 可 以 添加 或 删除 接收 陷入 事 
件 的 管理 站 点 ; Preferences 窗口 则 用 来 设置 Threshold Manager 的 属性 。 
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9-65 Threshold Manager 管理 界面 


(4) Show Commands。Show Commands 使 得 用 户 不 必 记 住 各 个 设备 的 命令 行 语法 ， 使 用 
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Web 浏览 器 进行 简单 操作 就 可 以 获取 设备 的 系统 信息 和 协议 信息 。Show Commands 在 Web 页 
面 的 左边 以 树 型 结构 显示 了 设备 所 支持 的 命令 列表 , 如 图 9-66 所 示 。 当 用 户 选择 了 一 个 命令 后 ， 
Show Commands 将 执行 所 选择 的 命令 ， 并 显示 命令 行 的 输出 信息 。 
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图 9-66 ”Show Commands 操作 界面 
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9.9.1 廉价 磁盘 元 余 阵 列 


廉价 磁盘 元 余 阵 列 (Redundant Arrays of Inexpensive Disk，RAID) 是 美国 加 利 福 尼 亚 大 学 
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1987 年 提出 的 ， 它 是 利用 一 台 磁 盘 阵 列 控制 器 管理 一 组 〈 几 台 到 几 十 台 ) 磁盘 


驱动 器 ， 组 成 一 个 可 靠 的 、 快 速 的 大 容量 磁盘 系统 。 

宛 余 磁 盘 阵 列 技术 最 初 的 研制 目的 是 为 了 组 合 小 型 的 廉价 磁盘 来 代替 大 容量 的 昂贵 磁盘 ， 
以 降低 大 批量 数据 存储 的 费用 ， 同 时 也 希望 采用 元 余 技术 提高 磁盘 数据 的 可 靠 性 ， 并 能 适当 提 
升 数 据 传 输 的 速率 。RAID 有 时 也 被 称 为 独立 磁盘 见 余 阵列 (Redundant Array of Independent 


Disk)， 以 强调 


其 可 作为 一 台 虚 拟 的 大 容量 硬盘 使 用 的 特点 。 


RAID 的 重要 特性 是 所 谓 的 EDAP (Extended Data Availability and Protection) 概念 ， 强 调 
了 这 种 系统 的 可 扩充 性 和 容错 机 制 。RAID 在 不 停机 的 情况 下 可 支持 以 下 功能 。 
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(1) 自动 检测 硬盘 故障 。 

(2) 重建 硬盘 的 坏 道 信息 。 

(3) 硬盘 热 备份 。 

(4) 硬盘 热 替 换 。 

(5) 扩充 硬盘 容量 。 

过 去 RAID 一 直 作 为 高 档 SCSI 硬盘 的 配套 技术 在 高 档 服务 器 中 使 用 ， 近 年 来 随 着 技术 的 
发 展 和 产品 成 本 的 下 降 ，IDE 硬盘 性 能 有 了 很 大 提升 ， 加 之 RAID 芯片 的 普及 ， 使 得 RAID 也 
逐渐 应 用 到 个 人 计算 机 上 。 

RAID 规范 包含 RAID 0 一 RAID 7 多 个 等 级 ， 它 们 的 技术 特点 各 不 相同 ， 目 前 投入 商业 应 
用 的 有 下 列 几 种 。 


1. RAIDO 


RAID 0 需要 两 个 以 上 硬盘 驱动 器 ， 每 个 磁盘 划分 为 不 同 的 区 块 ， 如 图 9-67 所 示 。 数 据 按 
区 块 Al、A2、A3、A4.… 的 顺序 存储 ， 数 据 访问 采用 交叉 存 取 、 并 行 传输 的 方式 。 将 数据 分 布 
在 不 同 驱动 器 上 ， 可 以 提高 传输 速度 ， 平 衔 驱 动 器 的 负载 。 但 这 种 系统 没有 差错 控制 措施 ， 如 
果 一 个 盘 上 的 数据 出 现 错误 , 其 他 盘 上 的 数据 也 无 用 了 。RAID 0 不 能 用 于 对 数据 稳定 性 要 求 较 
高 的 场合 。 如 果 进 行 图 像 编辑 ， 或 其 他 要 求 传输 速度 比较 高 的 场合 ， 使 用 RAID 0 比较 合适 。 
在 所 有 级 别 中 ，RAID 0 的 速度 是 最 快 的 。 


2. RAID1 
具有 磁盘 镜像 功能 ， 可 利用 并 行 读 写 特性 ， 将 数据 分 块 并 同时 写 入 主 磁盘 和 镜像 盘 ， 磁 盘 


容量 的 利用 率 只 有 50%， 它 是 以 牺牲 磁盘 容量 为 代价 换取 可 靠 性 的 提高 。 在 图 9-68 中 ,磁盘 1 
是 主 磁盘 ， 磁 盘 2 是 镜像 盘 。 
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RAID 1 控制 器 能 够 同时 对 两 个 盘 进 行 读 写 操作 ， 通 过 镜像 技术 提高 系统 的 容错 能 力 。 当 
主 硬盘 损坏 时 ， 镜 像 硬 盘 就 可 以 代替 主 硬盘 工作 ， 镜 像 硬盘 相当 于 一 个 备份 盘 ， 这 种 硬盘 控制 
模式 的 安全 性 是 非常 高 的 .RAID 1 的 差错 校 验 功能 对 系统 的 处 理 能 力 有 很 大 影响 ,通常 的 RAD 
功能 由 软件 实现 ， 在 服务 器 负载 比较 重 时 会 影响 其 工作 效率 。 当 系统 需要 极 高 的 可 靠 性 时 ， 如 
进行 数据 统计 ， 使 用 RAID 1 比较 合适 。RAID 1 技术 支持 热 蔡 换 ， 即 在 不 断 电 的 情况 下 对 故障 
磁盘 进行 更 换 ， 更 换 完毕 后 只 要 从 镜像 盘 上 恢复 数据 即 可 。 


3. RAID2 和 RAID3 


RAID 2 与 RAID 3 类 似 ， 两 者 都 是 将 数据 分 块 存储 在 不 同 的 硬盘 上 实现 多 模块 交 又 存 取 ， 
并 在 数据 访问 时 提供 差错 校 验 功能 。RAID 2 使 用 海 明 码 进 行 差错 校 验 , 需要 单独 的 磁盘 存放 校 
验 与 恢复 信息 。RAID 2 的 实现 技术 代价 昂贵 ， 在 商业 环境 中 很 少 使 用 。 

RAID 3 采用 奇偶 校 验方 式 ， 只 能 查 错 不 能 纠 错 。 这 种 技术 需要 三 个 以 上 的 驱动 器 ， 一 个 
磁盘 专门 存放 奇偶 校 验 码 ， 其 他 磁盘 作为 数据 盘 实 现 多 模块 交叉 存 取 , 如 图 9-69 所 示 。RAID 3 
访问 数据 时 一 次 处 理 一 个 区 块 ， 这 样 可 以 提高 读 取 和 写 入 的 速度 ， 奇 偶 校 验 码 在 写 入 数据 时 产 
生 并 保存 在 校 验 盘 上 。RAID 3 主要 用 于 图 形 图像 处 理 等 要 求知 吐 率 比较 高 的 场合 , 对 于 大 量 
连续 数据 可 提供 良好 的 传输 速率 ， 但 对 于 随机 数据 ， 奇 偶 校 验 盘 会 成 为 写 操作 的 瓶颈 。 利 用 单 
独 的 奇偶 校 验 盘 来 保护 数据 使 磁盘 的 利用 率 提高 到 (n-1) /n。 


| 磁盘 1 磁盘 2 | 磁盘 3 | 磁盘 4 [ea 
= a HM 
| 又 块 8 区 块 9 0 
图 9-69 RAID3 
4. RAIDS 


这 是 一 种 分 布 式 奇偶 校 验 的 独立 磁盘 结构 。 与 RAID 3 不 同 的 地 方 是 ， 用 来 进行 纠 错 的 校 
验 信息 分 布 在 各 个 数据 盘 上 , 没有 专门 的 校 验 盘 , 图 9-70 中 的 P01 表示 区 块 0 和 区 块 1 按 位 异 
或 运算 后 得 到 的 校 验 和 , 其余 类 推 。 这 种 校 验方 式 允 许 任何 一 台 磁 盘 机 损坏 , 例如 磁盘 3 坏 了 ， 
则 可 以 用 区 块 0 和 区 块 1 进行 异 或 运算 重新 得 到 P01， 用 P23 和 区 块 3 进行 异 或 运算 重新 得 到 
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区 块 3， 依 此 类 推 。 
RAID 5 的 读 出 效率 很 高 ， 写 入 效率 一 般 ， 对 区 块 式 的 聚集 访问 效率 不 错 。 由 于 奇偶 校 验 


码 分 布 在 不 同 的 磁盘 上 ， 人 允许 单个 磁盘 出 错 ， 所 以 提高 了 
可 靠 性 ， 也 提高 了 磁盘 的 利用 率 。 但 是 它 对 数据 传输 的 并 | 磁盘 1 磁盘 2 磁盘 3 


行 性 解决 得 不 好 ， 而 且 控制 器 的 设计 也 相当 复杂 。 对 于 
NN 
RAID 5 来 说 ， 大 部 分 数据 传输 只 对 一 块 磁盘 操作 ， 可 进 X 块 1 RN 
又 块 2 又 块 3 


行 并 行 访问 。 
SN | 区 
RN 又 块 4 
正如 其 名 字 所 暗示 的 一 样 ，RAID 0+1 是 RAID 0 和 


~ | SN 
RAID 1 的 组 合 形式 ， 也 称 为 RAID 10。 以 4 个 磁盘 组 成 

的 RAID 0+1 为 例 , 其 数据 存储 方式 如 图 9-71 所 示 。 RAID 图 9-70 RAID5 

0+1 是 存储 性 能 和 数据 安全 兼顾 的 方案 。 它 在 提供 与 RAID 1 同样 的 数据 安全 保障 的 同时 ， 也 
提供 了 与 RAID 0 近似 的 访问 速率 。 


S，RAID 0+1 


磁盘 1 磁盘 2 磁盘 3 磁盘 4 
区 块 0 区 块 0 区 块 1 区 块 
区 块 2 区 块 2 区 块 3 区 块 3 
区 块 4 区 块 4 区 块 5 区 块 5 
区 块 6 区 块 6 区 块 7 区 块 7 


图 9-71 RAID 0+1 


由 于 RAID 0+1 通过 数据 的 100% 备 份 提供 数据 安全 保障 , 因此 RAID 0+1 的 磁盘 空间 利用 
率 与 RAID 1 相同 ， 存 储 成 本 很 高 。 

RAID 0+1 的 特点 使 其 特别 适用 于 既 有 大 量 数据 需要 存 取 ， 同 时 又 对 数据 安全 性 要 求 严格 
的 领域 ， 例 如 银行 、 金 融 、 商 业 超市 、 仓 储 库房 和 各 种 档案 管理 等 。 


6. JBOD 模式 


JBOD 代表 Just a Bunch of Drives， 它 是 在 逻辑 上 将 几 个 物理 磁盘 连接 起 来 ， 组 成 一 个 大 
的 逻辑 磁盘 。JBOD 不 提供 容错 ， 其 容量 等 于 所 有 磁盘 容量 的 总 和 。 严 格 意义 上 说 ，JBOD 不 
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属于 RAID 的 范围 ， 不 过 现在 很 多 IDE RAID 控制 芯片 都 带 有 这 种 模式 。JBOD 就 是 简单 的 硬 
盘 容 量 全 加， 但 系统 处 理 时 并 没有 采用 并 行 的 方式 ， 写 入 数据 的 时 候 是 先 写 一 块 硬盘 ， 写 满 了 
再 写 第 二 块 硬盘 。 

实际 应 用 中 最 常见 的 是 RAID 0、RAID 1、RAID 5 和 RAID 10。 由 于 在 大 多 数 场合 , RAID 
5 包含 了 RAID 2 一 4 的 优点 ,所 以 RAID 2 一 4 基本 退出 市 场 ,一 般 认 为 RAID 2 一 4 只 用 于 RAID 
的 开发 研究 领域 。 


9.9.2 网 络 存储 


基于 Windows、Linux 和 UNIX 等 操作 系统 的 服务 器 称 为 开放 系统 。 开 放 系 统 的 数据 存储 
方式 分 为 内 置 存储 和 外 挂 存储 两 种 ， 而 外 挂 存储 又 根据 连接 的 方式 分 为 直 连 式 存储 和 网 络 化 存 
储 ， 目 前 应 用 的 网 络 化 存储 方式 有 两 种 ， 即 网 络 接 入 存储 和 存储 区 域 网 络 ， 如 图 9-72 所 示 。 下 
面 介绍 开放 系统 的 外 挂 存储 方式 。 


内 置 存 储 
开放 系统 的 存储 方式 | 


直 连 式 存储 
外 挂 存储 | 网 络 接 入 存储 


网 络 化 存储 | 
存储 区 域 网 络 


图 9-72 存储 系统 的 分 类 


1. 直 连 式 存 储 


开放 系统 的 直 连 式 存储 (Direct-Attached Storage，DAS) 如 
图 9-73 所 示 , 即 在 服务 器 上 外 挂 了 一 组 大 容量 硬盘 , 存储 设备 与 
服务 器 主机 之 间 采 用 SCSI 通道 连接 ， 带 宽 为 10Mbps、20Mbps、 
40Mbps 和 80Mbps 等 。 

直 连 式 存储 直接 将 存储 设备 连接 到 服务 器 上 , 这 种 方法 难以 
扩展 存储 容量 , 而 且 不 支持 数据 容错 功能 , 当 服 务 器 出 现 异 常 时 ， 
会 造成 数据 丢失 。 

随 着 服务 器 CPU 处 理 能 力 的 不 断 增强 ， 磁 盘存 储 空 间 越 来 
越 大 ， 硬 盘 数量 越 来 越 多 ，SCSI 通道 将 会 成 为 IO 瓶颈 。 同 时 ， 国 9.73 DAS 
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SCSI 或 FC 
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由 于 服务 器 主机 的 SCSI ID 资源 有 限 ， 能 够 建立 的 SCSI 通道 连接 也 有 限 。 无 论 存储 阵列 或 是 
服务 器 主机 的 扩展 ， 都 会 造成 系统 的 停机 ， 从 而 给 企业 带 来 经 济 损失 ， 对 于 银行 、 电 信和 传媒 
等 需要 7X24 小 时 服务 的 行业 ， 这 是 不 可 接受 的 。 

DAS 已 经 有 近 40 年 的 使 用 历史 ， 目 前 正在 让 位 于 日 渐 兴 盛 的 网 络 化 存储 。 


2， 网 络 接 入 存储 


网 络 化 存储 的 出 现 适 应 了 网 络 成 为 主要 信息 处 理 平台 的 发 展 趋势 , 它 分 扒 了 数据 处 理 和 存 
储 管理 的 功能 ， 计 算 机 负责 数据 处 理 ， 而 存储 子 系统 负责 数据 的 存储 和 管理 。 网 络 化 存储 能 
提供 灵活 的 解决 方案 ， 利 用 专用 的 存储 子 系统 可 以 实现 以 下 功能 。 

(1) 在 多 个 存储 子 系统 之 间 合理 地 分 配 存储 任务 。 

(2) 在 多 个 存储 位 置 之 间 实现 可 靠 的 数据 传输 。 

(3) 实现 可 靠 的 数据 保护 和 数据 恢复 功能 。 

(4) 实现 多 个 主机 系统 对 数据 的 并 行 访问 。 

网 络 接 入 存储 (Network Attached Storage，NAS) 是 将 存储 设备 连接 到 现 有 的 网 络 上 ， 来 
提供 数据 存储 和 文件 访问 服务 的 设备 。NAS 服 务 器 是 在 专用 主机 上 安装 简化 了 的 瘦 操作 系统 
(只 有 具有 访问 权限 控制 、 数 据 保护 和 恢复 等 功能 〉 的 文件 服务 器 。NAS 服务 器 内 置 了 与 网 络 连 
接 所 需要 的 协议 ， 可 以 直接 联网 ， 具 有 权限 的 用 户 都 可 以 通过 网 络 来 访问 NAS 服务 器 中 的 文 
件 。NAS 服务 器 直接 连接 磁盘 阵列 ， 它 具备 磁盘 阵列 的 所 有 特征 : 高 容量 、 高 效能 、 高 可 靠 性 。 
NAS 是 真正 即 插 即 用 的 产品 ， 物 理 位 置 灵活 ， 可 放置 在 工作 组 内 ， 也 可 放 在 其 他 地 点 。 用 户 之 
所 以 选择 NAS 解决 方案 ， 原 因 是 NAS 价格 合理 、 便 于 管理 、 灵 活 且 能 实现 文件 共享 。 

典型 的 NAS 都 连接 到 普通 的 以 太 网 上 ， 提 供 预先 配置 好 的 磁盘 容量 和 存储 管理 软件 ， 成 
为 完备 的 网 络 存储 解决 方案 ， 如 图 9-74 所 示 。 


3， 存 储 区 域 网 络 


存储 区 域 网 络 〔Storage Area Network，SAN) 是 一 种 连接 存储 设备 和 存储 管理 子 系统 的 专 
用 网 络 ， 专 门 提供 数据 存储 和 管理 功能 。SAN 可 以 被 看 作 是 负责 数据 传输 的 后 端 网 络 ,而 前 端 
网 络 或 称 为 数据 网 络 ) 则 负责 正常 的 TCP/IP 传输 。 也 可 以 把 SAN 看 作 是 通过 特定 的 互 连 方 
式 连接 的 若干 台 存 储 服务 器 组 成 的 单独 的 数据 网 络 ， 提 供 企业 级 的 数据 存储 服务 ， 其 拓扑 结构 
如 图 9-75 所 示 。 

SAN 是 一 种 特殊 的 高 速 网 络 ， 采 用 光纤 通道 《Fibre Channel) 实现 互 连 ， 通 过 光纤 通道 交 
换 机 连接 存储 阵列 和 文件 服务 器 主机 。SAN 不 仅 可 以 提供 大 容量 的 存储 数据 , 而且 地 域 上 可 以 
分 散 部 署 ， 从 而 缓解 了 大 量 数据 传输 对 于 局 域 网 通信 的 影响 。SAN 的 结构 使 得 文件 服务 器 可 以 
连接 到 任何 存储 阵列 ， 不 管 数 据 存放 在 哪里 ， 服 务 器 都 可 直接 访问 需要 的 数据 。 
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应 用 服务 器 


FC 交 换 机 


以 太 网 交换 机 
SS > 
ER 本 于 


图 9-74 NAS 的 体系 结构 图 9-75 SAN 拓扑 结构 


与 NAS 相 比 ，SAN 具有 下 面 的 特点 。 

(1) SAN 具有 无 限 的 扩展 能 力 。 由 于 SAN 采用 了 网 络 结构 , 文件 服务 器 可 以 访问 SAN 网 
络 上 的 任何 一 个 存储 设备 ， 因 此 用 户 可 以 自由 扩展 磁盘 阵列 、 磁 带 库 和 服务 器 等 设备 ， 使 得 整 
个 系统 的 存储 空间 和 处 理 能 力 可 以 按照 用 户 需求 不 断 扩 大 。 

(2) SAN 采用 了 为 大 规模 数据 传输 而 专门 设计 的 光纤 通道 技术 , 所 以 具有 更 高 的 传输 速度 
和 更 快 的 处 理 能 力 。 

图 9-76 表示 的 是 用 户 存储 文件 的 过 程 。 当 客户 端 把 要 存储 的 文件 发 送 给 文件 服务 器 时 ， 
文件 服务 器 不 是 把 数据 存储 在 本 地 的 硬盘 上 ， 而 是 将 其 发 送 给 SAN 网 络 ， 如 果 光 纤 通 道 交 换 
机 存储 在 适当 的 存储 设备 上 ， 这 些 文件 可 以 自动 地 转发 到 其 他 存储 设备 上 ， 以 实现 数据 镜像 和 


图 9-76 ”SAN 拓扑 结构 


ev 


网 络 规划 和 设计 者 


网 络 规划 和 设计 是 根据 网 络 建设 的 目标 进行 需求 分 析 ， 设 计 网 络 的 逻辑 结构 和 物理 结构 ， 
为 网 络 工程 的 安装 和 配置 准备 各 种 技术 文档 。 网 络 规划 和 设计 过 程 是 一 个 迭代 和 优化 的 过 程 ， 
在 网 络 的 生命 周期 中 这 个 过 程 重 复 多 次 ， 使 得 建成 的 网 络 能 够 适应 技术 的 发 展 和 应 用 的 变化 ， 
为 用 户 提供 一 个 高 效 适 用 的 网 络 计算 平台 。 本 章 重 点 讲述 网 络 分 析 和 设计 过 程 ， 并 且 介绍 了 结 
构 化 综合 布线 系统 和 网 络 故 障 诊断 方法 ， 最 后 给 出 了 网 络 部 署 和 配置 的 实例 。 


10.1 结构 化 布线 系统 


结构 化 综合 布线 系统 (Structure Cabling System) 是 基于 现代 计算 机 技术 的 通信 物理 平台 ， 
集成 了 语音 、 数 据 、 图 像 和 视频 的 传输 功能 ， 消 除了 原 有 通信 线路 在 传输 介质 上 的 差别 。 结 构 
化 综合 布线 系统 包括 建筑 物 综合 布线 系统 (Premises Distribution System，PDS)、 智 能 大 厦 布 线 
系统 (Intelligent Building System，IBS) 和 工业 布线 系统 (Industry Distribution System，IDS )。 
这 里 要 讲 的 是 建筑 物 综合 布线 系统 PDS， 这 是 一 种 能 支持 话音 和 数据 通信 ， 支 持 安全 监控 和 传 
感 器 信号 传输 ， 支 持 多 媒体 和 高 速 网 络 应 用 的 电信 系统 ， 通 过 一 次 性 布线 提供 各 种 通信 线路 ， 
并 且 可 以 根据 应 用 需求 变化 和 技术 发 展 趋势 进行 扩充 ， 是 一 种 技术 先进 、 具 有 长 远 效益 的 解决 
方案 。 

结构 化 综合 布线 系统 应 满足 下 列 要 求 。 

。 ”标准 化 : 采用 国际 、 国 家 规范 和 标准 来 设计 、 施 工 和 测试 系统 ， 采 用 符合 国际 和 国家 

标准 、 得 到 国际 权威 机 构 认 证 的 产品 。 
。 ”实用 性 : 针对 实际 应 用 的 需要 和 特点 来 建设 系统 ， 保 证 系统 能 满足 现在 和 将 来 应 用 的 


。 ”先进 性 : 采用 国际 最 新 技术 ,系统 设计 应 具有 一 定 的 超前 意识 , 保证 在 5 至 10 年 内 技 
术 上 不 落后 。 

。 ”开放 性 : 充分 考虑 整个 系统 的 开放 性 ， 系 统 要 兼容 不 同类 型 的 信号 ， 适 应 各 种 网 络 拓 
扑 结构 和 各 种 应 用 的 要 求 。 

。 ”结构 化 、 层 次 化 : 易于 管理 和 维护 系统 ， 应 具有 充足 的 扩展 余地 ， 具 有 一 定 的 灵活 性 、 
较 强 的 可 靠 性 和 容错 性 。 


结构 化 布线 系统 分 为 6 个 子 系统 : 工作 区 子 系统 、 水 平子 系统 、 干 线 子 系统 、 设 备 间 子 系 
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统 、 管 理子 系统 和 建筑 群 子 系统 ， 如 图 10-1 所 示 。 


干线 子 系统 水 平 布 线 子 系统 


图 10-1 结构 化 布线 示意 图 


1. 工作 区 子 系统 (Work Location) 


工作 区 子 系统 是 由 终端 设备 到 信息 插座 的 整个 区 域 。 一 个 独立 的 需要 安装 终端 设备 的 区 域 
划分 为 一 个 工作 区 。 工 作 区 应 支持 电话 、 数 据 终 端 、 计算机、 电视 机 、 监 视 器 以 及 传感器 等 多 
种 终端 设备 。 

信息 插座 的 类 型 应 根据 终端 设备 的 种 类 而 定 。 信 息 插座 的 安装 分 为 嵌入 式 〈 新 建筑 物 ) 和 
表面 安装 ( 老 建筑 物 ) 两 种 方式 , 信息 插座 通常 安装 在 工作 间 四 周 的 墙壁 下 方 , 距离 地 面 30cm， 
也 有 的 安装 在 用 户 办 公 桌 上 。 通 常 一 个 信息 插座 需要 9m 的 空间 。 


2. 水 平子 系统 (Horizontal) 


各 个 楼 层 接线 间 的 配 线 架 到 工作 区 信息 插座 之 间 所 安装 的 线 缆 属 于 水 平子 系统 。 水 平子 系 
统 的 作用 是 将 干线 子 系统 线路 延伸 到 用 户 工作 区 。 在 进行 水 平 布线 时 ， 传 输 介 质 中 间 不 宜 有 转 
折 点 ， 两 端 应 直接 从 配 线 架 连接 到 工作 区 的 信息 插座 。 水 平 布线 的 布线 通道 有 两 种 : 一 种 是 暗 
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管 预 埋 、 墙 面 引线 方式 ， 另 一 种 是 地 下 管 模 、 地 面 引线 方式 。 前 者 适用 于 多 数 建筑 系统 ， 一 旦 
铺设 完成 ， 不 易 更 改 和 维护 ;后 者 适合 于 少 墙 多 柱 的 环境 ， 更 改 和 维护 方便 。 


3. 管理 子 系统 (Administration ) 


管理 子 系统 设置 在 楼 层 的 接线 间 内 ， 由 各 种 交 连 设备 ( 双 绞 线 跳 线 架 、 光 纤 跳 线 架 ) 以 及 
集线器 和 交换 机 等 交换 设备 组 成 ， 交 连 方式 取决 于 网 络 拓 扑 结构 和 工作 区 设备 的 要 求 。 交 连 设 
备 通过 水 平 布线 子 系统 连接 到 各 个 工作 区 的 信息 插座 ， 集 线 器 或 交换 机 与 交 连 设备 之 间 通 过 短 
线 缆 互 连 ， 这 些 短 线 被 称 为 跳 线 。 通 过 跳 线 的 调整 ， 可 以 对 工作 区 的 信息 插座 和 交换 机 端口 之 
间 进 行 连接 切换 。 

高 层 大 楼 采用 多 点 管理 方式 ， 每 一 楼 层 要 有 一 个 配 线 间 ， 用 于 放置 交换 机 、 集 线 器 以 及 配 
线 架 等 设备 。 如 果 楼 层 较 少 ， 宜 采用 单 点 管理 方式 ， 管 理 点 就 设 在 大 楼 的 设备 间 内 。 


4. 干线 子 系统 (Backbone) 


干线 子 系统 是 建筑 物 的 主干 线 缆 ， 实 现 各 楼 层 设 备 间 子 系统 之 间 的 互 连 。 干 线 子 系统 通常 
由 垂直 的 大 对 数 铜 缆 或 光线 组 成 ， 一 头 端 接 于 设备 间 的 主 配 线 架 上 ， 另 一 头 端 接 在 楼 层 接 线 间 
的 管理 配 线 架 上 。 

主干 子 系统 在 设计 时 ， 对 于 旧 建 筑 物 ， 主 要 采用 楼 层 牵 引 管 方式 铺设 ， 对 于 新 建筑 物 ， 则 
利用 建筑 物 的 线 井 进行 铺设 。 

5. 设备 间 子 系统 (Equipment) 


建筑 物 的 设备 间 是 网 络 管理 人 员 值 班 的 场所 , 设备 间 子 系统 由 建筑 物 的 进 户 线 、 交换 设备 、 
电话 、 计 算 机 、 适 配器 以 及 保安 设施 组 成 ， 实 现 中 央 主 配 线 架 与 各 种 不 同 设备 (如 PBX、 网 络 
设备 和 监控 设备 等 ) 之 间 的 连接 。 

在 选择 设备 间 的 位 置 时 ， 要 考虑 连接 方便 性 ， 要 考虑 安装 与 维护 的 方便 ， 设 备 间 通 常 选择 
在 建筑 物 的 中 间 楼 层 。 设 备 间 要 有 防 雷击 、 防 过 压 过 流 的 保护 设备 ,通常 还 要 配备 不 间断 电源 。 


6. 建筑 群 子 系统 (Campus) 


建筑 群 子 系统 也 叫 园 区 子 系统 ， 它 是 连接 各 个 建筑 物 的 通信 系统 。 大 楼 之 间 的 布线 方法 有 
三 种 , 一 种 是 地 下 管道 敷设 方式 , 管道 内 数 设 的 铀 费 或 光缆 应 遵循 电话 管道 和 入 孔 的 各 种 规定 ， 
安装 时 至 少 应 预 留 1 到 2 个 备用 管 孔 ， 以 备 扩充 之 用 。 第 二 种 是 直 埋 法 ， 要 在 同一 个 沟 内 埋 入 
通信 和 监控 电缆 ， 并 应 设立 明显 的 地 面 标志 。 最 后 一 种 是 架空 明 线 ， 这 种 方法 需要 经 常 维护 。 

在 进行 结构 化 布线 系统 设计 时 , 要 注意 线 缆 长 度 的 限制 , 表 10-1 是 EIA/TIA-568 标准 提出 
的 布线 距离 最 大 值 。 
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表 10-1 布线 距离 


子 系 统 光纤 (m) 屏蔽 双 绞 线 (m) 
建筑 群 〈 楼 栋 间 ) 2000 800 
主干 〈 设 备 问 到 配 线 间 ) 2000 
配 线 间 到 工作 区 信息 插座 
信息 插座 到 网 卡 


10.2 网络 分 析 与 设计 过 程 


10.2.1 网 络 系统 生命 周期 


一 个 网 络 系统 从 构思 开始 ， 到 最 后 被 淘汰 的 过 程 称 为 网 络 生命 周期 。 一 般 来 说 ， 网 络 生命 
周期 至 少 应 包括 网 络 系统 的 构思 和 计划 、 分 析 和 设计 、 运 行 和 维护 的 过 程 。 网 络 系统 的 生命 周 
期 与 软件 工程 中 的 软件 生命 周期 非常 类 似 ， 首 先 它 是 一 个 循环 欠 代 的 过 程 ， 每 次 循环 迭代 的 动 
力 都 来 自 于 网 络 应 用 需求 的 变更 。 其 次 ， 每 次 循环 过 程 中 都 存在 需求 分 析 、 规 划 设计 、 实 施 调 
试 和 运营 维护 等 多 个 阶段 。 有 些 网 络 仅仅 经 过 一 个 周期 就 被 淘汰 ， 而 有 些 网 络 在 存活 过 程 中 经 
过 多 次 循环 周期 ， 一 般 来 说 ， 网 络 规模 越 大 、 投 资 越 多 ， 则 其 可 能 经 历 的 循环 周期 也 越 长 。 

每 一 个 迭代 周期 都 是 网 络 重 构 的 过 程 ， 不 同 的 网 络 设计 方法 ， 对 和 迭代 周期 的 划分 方式 是 不 
同 的 ， 拥 有 不 同 的 网 络 文档 模板 ， 但 是 实施 后 的 效果 都 满足 了 用 户 的 网 络 需求 。 常 见 的 迭代 周 
期 构成 方式 主要 有 如 下 三 种 。 


1. 四 阶段 周期 


四 阶段 周期 能 够 快速 适应 新 的 需求 变化 ， 强 调 网 络 建设 周期 中 的 宏观 管理 ，4 个 阶段 的 划 
分 如 图 10-2 所 示 。 


时 间 轴 


图 10-2 ”四 阶段 周期 


4 个 阶段 分 别 为 构思 与 规划 阶段 、 分 析 与 设计 阶段 、 实 施 与 构建 阶段 和 运行 与 维护 阶段 ， 
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这 4 个 阶段 之 间 有 一 定 的 重合 ， 保 证 了 两 个 阶段 之 间 的 交接 工作 ， 同 时 也 赋予 了 网 络 工程 设计 
的 灵活 性 。 

构思 与 规划 阶段 的 主要 工作 是 明确 网 络 设计 的 需求 ， 同 时 确定 新 网 络 的 建设 目标 。 分 析 与 
设计 阶段 的 工作 在 于 根据 网 络 的 需求 进行 设计 ， 并 形成 特定 的 设计 方案 。 实 施 与 构建 阶段 的 工 
作 在 于 根据 设计 方案 进行 设备 购置 、 安 装 、 调 试 ， 建 成 可 试用 的 网 络 环境 。 运 行 维护 阶段 提供 
网 络 服 务 ， 并 实施 网 络 管理 。 

四 阶段 周期 的 长 处 在 于 工作 成 本 较 低 、 灵 活性 高 ， 适 用 于 网 络 规模 较 小 、 需 求 较为 明确 、 
网 络 结构 简单 的 网 络 工程 。 


2. 五 阶段 周期 


五 阶段 周期 是 较为 常见 的 迭代 周期 划分 方式 ， 将 一 次 迭代 划分 为 5 个 阶段 。 

(1) 需求 规范 。 

(2) 通信 规范 。 

(3) 逻辑 网 络 设计 。 

(4) 物理 网 络 设计 。 

(5) 实施 阶段 。 

在 5 个 阶段 中 , 由 于 每 个 阶段 都 是 一 个 工作 环节 , 每 个 环节 完毕 后 才能 进入 到 下 一 个 环节 ， 
类 似 于 软件 工程 中 的 “瀑布 模型 >， 形 成 了 特定 的 工作 流程 。 如 图 10-3 所 示 。 


逻辑 网 络 设计 


物理 网 络 设 计 
Ty 


10-3 五 阶段 周期 


按照 这 种 流程 构建 网 络 , 在 下 一 个 阶段 开始 之 前 , 前 一 阶段 的 工作 已 经 完成 , 一般 情况 下 ， 
不 允许 返回 到 前 面 的 阶段 ， 如 果 出 现 前 一 阶段 的 工作 没有 完成 就 开始 进入 下 一 个 阶段 ， 则 会 对 
后 续 的 工作 造成 较 大 的 影响 ， 甚 至 引起 工期 拖 后 和 成 本 超支 。 

这 种 方法 的 主要 优势 在 于 所 有 的 计划 在 较 早 的 阶段 完成 ， 系 统 的 所 有 负责 人 对 系统 的 具体 
情况 以 及 工作 进度 都 非常 清楚 ， 更 容易 协调 工作 。 

五 阶段 周期 的 缺点 是 比较 死板 ， 不 灵活 。 因 为 往往 在 项 目 完成 之 前 ， 用 户 的 需求 经 常会 发 
生变 化 ， 这 使 得 已 开发 的 部 分 需要 经 常 修改 ， 从 而 影响 工作 的 进程 。 所 以 基于 这 种 流程 完成 网 
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络 设计 时 ， 用 户 的 需求 确认 工作 非常 重要 。 

五 阶段 周期 由 于 存在 较为 严格 的 需求 和 通信 分 析 规 范 , 并 且 在 设计 过 程 中 充分 考虑 了 网 络 
的 逻辑 特性 和 物理 特性 ， 因 此 较为 严谨 ， 适 用 于 网 络 规 模 较 大 、 需 求 较为 明确 、 需 求 变更 较 小 
的 网 络 工程 。 

3. 六 阶段 周期 

六 阶段 周期 是 对 五 阶段 周期 的 补充 ， 是 对 其 缺乏 灵活 性 的 改进 ， 通 过 在 实施 阶段 前 后 增加 
相应 的 测试 和 优化 过 程 ， 来 提高 网 络 建设 工程 中 对 需求 变更 的 适应 性 。 

6 个 阶段 分 别 由 需求 分 析 、 逻 辑 设计 、 物 理 设 计 、 设 计 优 化 、 实 施 及 测试 、 监 测 及 性 能 优 
化 组 成 ， 如 图 10-4 所 示 。 


监测 及 性 


能 优化 


图 10-4 六 阶段 周期 


在 需求 分 析 阶 段 ， 网 络 分 析 人 员 通 过 与 用 户 进行 交流 来 确定 新 系统 (或 升级 系统 ) 的 商业 
目标 和 技术 目标 ， 然 后 归纳 出 当前 网 络 的 特征 ， 分 析 当 前 和 将 来 的 网 络 通信 量 、 网 络 性 能 、 协 
议 行为 和 服务 质量 要 求 。 

逻辑 设计 阶段 主要 完成 网 络 的 拓扑 结构 、 网 络 地 址 分 配 、 设 备 命名 规则 、 交 换 及 路 由 协议 
选择 、 安 全 规划 、 网 络 管理 等 设计 工作 ， 并 且 根 据 这 些 设计 选择 设备 和 服务 供应 商 。 

物理 设计 阶段 是 根据 逻辑 设计 的 结果 选择 具体 的 技术 和 产品 ,使 得 逻辑 设计 成 果 符合 工程 
设计 规范 的 要 求 。 

设计 优化 阶段 完成 工程 实施 前 的 方案 优化 ， 通 过 召开 专家 研讨 会 、 搭 建 试验 平台 、 网 络 仿 
真 等 多 种 形式 找 出 设计 方案 中 的 缺陷 ， 并 进一步 优化 。 
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实施 及 测试 阶段 根据 优化 后 的 方案 购置 设备 、 进 行 安装 、 调 试 与 测试 工作 ， 通 过 测试 和 试 
用 后 发 现 网 络 环境 与 设计 方案 的 偏差 ， 纠 正 其 中 的 错误 ， 并 修改 网 络 设计 方案 。 

监测 及 性 能 优化 阶段 是 网 络 的 运营 和 维护 阶段 。 通 过 网 络 管理 、 安 全 管理 等 技术 手段 ， 对 
网 络 是 否 正 常 运行 进行 实时 监控 ， 如 果 发 现 问题 ， 则 通过 优化 网 络 设备 配置 参数 来 达到 优化 网 
络 性 能 的 目的 。 如 果 发 现 网 络 性 能 无 法 满足 用 户 的 需求 ， 则 进入 下 一 迭代 周期 。 

六 阶段 周期 偏重 于 网 络 的 测试 和 优化 ， 侧 重 于 网 络 需 求 的 不 断 变 更 ， 由 于 其 严格 的 逻辑 设 
计 和 物理 设计 规范 ， 使 得 这 种 模式 适合 于 大 型 网 络 的 建设 工作 。 


10.2.2 网络 开 发 过 程 


网 络 开发 过 程 描述 了 开发 网 络 时 必须 完成 的 基本 任务 , 而 网 络 生命 周期 为 描绘 网 络 项 目的 
开发 提供 了 特定 的 理论 模型 ， 因 此 网 络 开发 过 程 是 指 一 次 欠 代 过 程 。 

由 于 一 个 网 络 工程 项 目 从 构思 到 最 终 退 出 应 用 , 一 般 会 遵循 迭代 模型 , 经 历 多 个 迭代 周期 。 
每 个 周期 的 各 种 工作 可 根据 新 网 络 的 规模 采用 不 同 的 迭代 周期 模型 。 例 如 在 网 络 建设 初期 ， 由 
于 网 络 规模 比较 小 ， 因 此 第 一 次 迭代 周期 的 开发 工作 应 采用 四 阶段 模式 。 随 着 应 用 的 发 展 ， 需 
要 基于 初期 建成 的 网 络 进行 全 面 的 网 络 升 级 ， 则 可 以 在 第 二 次 迭代 周期 中 采用 五 阶段 或 六 阶段 
的 模式 。 

由 于 中 等 规模 的 网 络 较 多 ， 并 且 应 用 范围 较 广 ， 因 此 主要 介绍 五 阶段 连 代 周 期 模型 。 这 种 
模型 也 部 分 适用 于 要 求 比较 单纯 的 大 型 网 络 ， 而 且 采 用 六 阶段 周期 时 也 必须 完成 五 阶段 周期 中 
要 求 的 各 项 工作 。 

将 大 型 问题 分 解 为 多 个 小 型 可 解 的 简单 问题 ， 这 是 解决 复杂 问题 的 常用 方法 。 根 据 五 阶段 
迭代 周期 的 模型 ， 网 络 开发 过 程 可 以 被 划分 为 如 下 5 个 阶段 。 

(1) 需求 分 析 。 

(2) 现 有 的 网 络 体系 分 析 ， 即 通信 规范 分 析 。 

(3) 确定 网 络 逻 辑 结构 ， 即 逻辑 网 络 设计 。 

(4) 确定 网 络 物理 结构 ， 即 物理 网 络 设计 。 

(5) 安装 和 维护 。 
因此 ， 网 络 工程 被 分 解 成 为 多 个 容易 理解 、 容 易 处 理 的 部 分 ， 每 个 部 分 的 工作 构成 一 个 阶 
段 ， 各 个 阶段 的 工作 成 果 都 将 直接 影响 到 下 一 阶段 的 工作 开展 ， 这 就 是 五 阶段 周期 被 称 为 流水 
线 的 真正 含义 。 

在 这 5 个 阶段 中 ， 每 个 阶段 都 必须 依据 上 一 阶段 的 成 果 完 成 本 阶段 的 工作 ， 并 形成 本 阶段 
的 工作 成 果 ， 作 为 下 一 阶段 的 工作 依据 。 这 些 阶 段 成 果 分 别 为 需求 规范 、 通 信 规 范 、 逻 辑 网 络 
设计 和 物理 网 络 设计 文档 。 在 大 多 数 网 络 工程 中 ， 网 络 开发 过 程 可 以 用 图 10-5 来 描述 。 
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通信 规范 分 析 逻辑 网 络 设计 物理 网 络 设计 安装 和 维护 
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图 10-5 五 阶段 网 络 开 发 过 程 


下 面 详 细 介 绍 网 络 开发 过 程 的 各 个 阶段 ， 只 有 理解 了 开发 网 络 项 目的 各 个 阶段 ， 才 可 以 在 
实际 开发 过 程 中 灵活 运用 。 


1. 需求 分 析 


需求 分 析 是 开发 过 程 中 最 关键 的 阶段 ， 所 有 工程 设计 人 员 都 清楚 ， 如 果 在 需求 分 析 阶 段 没 
有 明确 需求 ， 则 会 导致 以 后 各 阶段 的 工作 严重 受阻 。 需 求 阶段 需要 克服 需求 收集 的 困难 ， 很 多 
时 候 用 户 不 清楚 具体 需求 是 什么 ， 或 者 需求 渐渐 增加 而 且 经 常 发 生变 化 ， 需 求 调研 人 员 必 须 采 
用 多 种 方式 与 用 户 交流 ， 才 能 挖掘 出 网 络 工 程 的 全 面 需求 。 

收集 需求 信息 要 和 不 同 的 用 户 (包括 经 理 人 员 和 网 络 管理 员 ) 进行 交流 ， 要 把 交流 所 得 信 
息 进行 归纳 解释 ， 去 伪 存 真 。 在 这 个 过 程 中 ， 很 容易 出 现 不 同 用 户 群 体 之 间 的 需求 是 矛盾 的 
特别 是 网 络 用 户 和 网 络 管理 员 之 间 会 出 现 分 歧 。 网 络 用 户 总 是 希望 能 够 更 多 、 更 方便 地 享用 网 
络 资源 ， 而 网 络 管理 员 则 更 希望 网 络 稳定 和 易于 管理 。 网 络 设计 人 员 要 在 设计 工作 中 根据 工程 
经 验 ， 均 衡 考 虑 各 方 利 益 ， 才 能 保证 最 终 的 网 络 是 可 用 的 。 

收集 需求 信息 是 一 项 费时 的 工作 ， 也 不 可 能 很 快 产生 非常 明确 的 需求 ， 但 是 可 以 明确 需求 
变化 的 范围 ， 通 过 网 络 设计 的 伸缩 性 保证 网 络 工程 满足 用 户 的 需求 变化 。 需 求 分 析 有 助 于 设计 
者 更 好 地 理解 网 络 应 该 具有 什么 样 的 功能 和 性 能 ， 最 终 设计 出 符合 用 户 需 求 的 网 络 。 

不 同 的 用 户 有 不 同 的 网 络 需求 ， 收 集 的 需求 范围 如 下 。 

(1) 业务 需求 。 

(2) 用 户 需 求 。 

(3) 应 用 需求 。 

(4) 计算 机 平台 需求 。 

(5) 网 络 通信 需求 。 
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(3) 可 以 在 路 由 器 Routerl 上 配置 策略 路 由 ， 其 配置 方法 如 下 : 


Routerl(config)# access-list 1 permit 192.168.3.0 0.0.0.255 
Routerl(config)# access-list 2 permit 192.168.2.0 0.0.0.255 
Routerl(config)# route-map ISP]1 permit 10 
Routerl(config-route-map)# match ip address 1 
Routerl(config-route-map)# set interface serial 0 
Routerl(config-route-map)# exit 

Routerl(config)# route-map ISP2 permit 20 
Routerl(config-route-map)# match ip address 2 
Routerl(config-route-map)# set interface serial 1 


然后 将 每 个 路 由 图 应 用 到 路 由 器 Routerl 的 适当 接口 上 ， 这 里 的 适当 接口 是 指 那 些 数据 流 


进入 路 由 器 的 接口 。 


Routerl(config)# interface fa0/0 
Routerl(config-if)# ip policy route-map ISP1 
Routerl(config-if)# interface fa0/1 
Routerl(config-if)# ip policy route-map ISP2 
Routerl(config-if)# interface fa0/2 
Routerl(config-if)# ip policy route-map ISP2 


(4) 可 以 在 两 个 自治 系统 的 边界 路 由 器 Routerl 上 设置 路 由 重 发 布 ， 配 置 过 程 如 下 。 
配置 OSPF 协议 和 路 由 重 发 布 命令 : 
Routerl(config)# router ospf 101 


Routerl(config-router)# redistribute rip subnets 
Routerl(config-router)# network X.X.X.X wildcard area 0 


配置 RIP 协议 和 路 由 重 发 布 : 


Routerl(config)# router rip 

Routerl(config-routerj# network X.XXX// 配 置 多 条 network 命令 
Routerl(config-router)# passive-interface fa0/3 

Routerl(config-router)# redistribute ospf 101 match intemal external 1 external 2 
Routerl(config-router)# default-metric 10 


0 


